Trong những tháng qua Google đã đặc biệt chú ý đến các vấn đề bảo mật tìm thấy trong nhân Linux và KubernetesVào tháng XNUMX năm ngoái, Google đã tăng quy mô các khoản thanh toán khi công ty tăng gấp ba lần tiền thưởng khai thác cho các lỗi chưa biết trước đây trong nhân Linux.
Ý tưởng là mọi người có thể khám phá ra những cách mới để khai thác hạt nhân, đặc biệt là liên quan đến Kubernetes chạy trên đám mây. Google hiện báo cáo rằng chương trình tìm lỗi đã thành công, nhận được chín báo cáo trong ba tháng và giải ngân hơn 175,000 đô la cho các nhà nghiên cứu.
Và đó là điều đó thông qua một bài đăng trên blog Google một lần nữa đưa ra thông báo về việc mở rộng sáng kiến để trả phần thưởng tiền mặt cho việc xác định các vấn đề bảo mật trong nhân Linux, nền tảng điều phối vùng chứa Kubernetes, Google Kubernetes Engine (GKE) và môi trường cạnh tranh lỗ hổng Kubernetes Capture the Flag (kCTF).
Bài đăng đề cập rằng bây giờ chương trình phần thưởng bao gồm một phần thưởng bổ sung 20,000 đô la cho các lỗ hổng zero-day đối với các khai thác không yêu cầu hỗ trợ không gian tên người dùng và để trình diễn các kỹ thuật khai thác mới.
Khoản thanh toán cơ bản để chứng minh một hoạt động khai thác tại kCTF là $ 31 (khoản thanh toán cơ sở được trao cho người tham gia lần đầu tiên chứng minh một khai thác hoạt động, nhưng các khoản chi thưởng có thể được áp dụng cho các lần khai thác tiếp theo cho cùng một lỗ hổng).
Chúng tôi đã tăng phần thưởng của mình vì chúng tôi nhận thấy rằng để thu hút sự chú ý của cộng đồng, chúng tôi cần làm cho phần thưởng của chúng tôi phù hợp với kỳ vọng của họ. Chúng tôi cho rằng việc mở rộng đã thành công và vì vậy chúng tôi muốn mở rộng thêm ít nhất là cho đến cuối năm (2022).
Trong ba tháng qua, chúng tôi đã nhận được 9 bài gửi và đã trả hơn 175 đô la cho đến nay.
Trong ấn phẩm, chúng ta có thể thấy rằng toàn bộ, có tính đến tiền thưởng, phần thưởng tối đa cho một lần khai thác (các vấn đề được xác định dựa trên phân tích các bản sửa lỗi trong cơ sở mã không được đánh dấu rõ ràng là lỗ hổng bảo mật) có thể lên đến $ 71 (trước đây phần thưởng cao nhất là $ 31) và đối với vấn đề zero-day (các vấn đề chưa có lời giải) được trả tới $ 337 (trước đây phần thưởng cao nhất là $ 91,337). Chương trình thanh toán sẽ có hiệu lực đến hết ngày 31 tháng 2022 năm XNUMX.
Đáng chú ý là trong ba tháng qua, Google đã xử lý 9 yêu cầu cvới thông tin về các lỗ hổng bảo mật, với số tiền 175 nghìn đô la đã được trả.
Các nhà nghiên cứu tham gia đã chuẩn bị năm lần khai thác cho các lỗ hổng zero-day và hai cho các lỗ hổng trong 1 ngày. Ba vấn đề cố định trong nhân Linux đã được tiết lộ công khai (CVE-2021-4154 trong cgroup-v1, CVE-2021-22600 trong af_packet và CVE-2022-0185 trong VFS) (những vấn đề này đã được xác định thông qua Syzkaller và cho hai sửa lỗi đã được thêm vào hạt nhân).
Những thay đổi này làm tăng một số lần khai thác 1 ngày lên $ 71 (so với $ 337) và tạo ra phần thưởng tối đa cho một lần khai thác duy nhất là $ 31 (so với $ 337). Chúng tôi cũng sẽ trả ngay cả cho các bản sao ít nhất 91 đô la nếu họ thể hiện các kỹ thuật khai thác mới (thay vì 337 đô la). Tuy nhiên, chúng tôi cũng sẽ giới hạn số lượng phần thưởng trong 50 ngày chỉ là một phần thưởng cho mỗi phiên bản / bản dựng.
Có 12-18 bản phát hành GKE mỗi năm trên mỗi kênh và chúng tôi có hai nhóm trên các kênh khác nhau, vì vậy chúng tôi sẽ trả phần thưởng cơ bản là 31 USD, tối đa 337 lần (không giới hạn tiền thưởng). Mặc dù chúng tôi không mong đợi mọi bản cập nhật sẽ có thời gian giao hàng hợp lệ trong 36 ngày, nhưng chúng tôi muốn biết điều khác.
Như vậy, nó được đề cập trong thông báo rằng tổng các khoản thanh toán phụ thuộc vào một số yếu tố: nếu vấn đề được tìm thấy là lỗ hổng zero-day, nếu nó yêu cầu không gian tên người dùng không đặc quyền, nếu nó sử dụng một số phương pháp khai thác mới. Mỗi điểm trong số này đi kèm với phần thưởng là $ 20,000, điều này cuối cùng làm tăng khoản thanh toán cho một hoạt động khai thác lên $ 91,337.
Cuối cùng sNếu bạn muốn biết thêm về nó về ghi chú, bạn có thể kiểm tra chi tiết trong bài đăng gốc Trong liên kết sau đây.