在过去的几个月里 谷歌特别关注安全问题 在内核中找到 Linux 和 Kubernetes与去年 XNUMX 月一样,谷歌增加了支付金额,因为该公司将针对 Linux 内核中以前未知的漏洞的漏洞利用赏金增加了两倍。
这个想法是人们可以发现利用内核的新方法, 特别是与在云中运行的 Kubernetes 相关。 谷歌现在报告说,该漏洞发现计划取得了成功,在三个月内收到了九份报告,并向研究人员支付了超过 175,000 美元。
就是通过一篇博文 谷歌再次发布关于扩大倡议的公告 为识别 Linux 内核、Kubernetes 容器编排平台、Google Kubernetes Engine (GKE) 和 Kubernetes Capture the Flag (kCTF) 漏洞竞赛环境中的安全问题支付现金奖励。
该帖子提到 现在奖励计划包括额外的奖金 20,000 美元用于零日漏洞,用于不需要用户命名空间支持的漏洞利用和演示新的漏洞利用技术。
在 kCTF 展示有效漏洞利用的基本奖金为 31 美元(基本奖金授予首先展示有效漏洞利用的参赛者,但奖金可用于针对同一漏洞的后续利用)。
我们增加了奖励,因为我们认识到,为了吸引社区的注意力,我们需要将我们的奖励与他们的期望相匹配。 我们认为扩展是成功的,因此我们希望至少将其进一步扩展至年底(2022 年)。
在过去的三个月里,我们收到了 9 份提交,到目前为止支付了超过 175 美元。
在出版物中我们可以看到 全部的, 考虑到奖金, 漏洞利用的最大奖励 (基于对代码库中未明确标记为漏洞的错误修复的分析确定的问题) 最高可达 71 美元 (之前最高奖励为 31 美元),对于零日问题(尚无解决方案的问题),最高可支付 337 美元(之前最高奖励为 91,337 美元)。 付款计划有效期至 31 年 2022 月 XNUMX 日。
值得注意的是,在过去的三个月里, Google 已处理 9 个请求 c包含有关漏洞的信息,为此支付了 175 万美元。
参与的研究人员准备了五个针对零日漏洞的漏洞利用,两个针对 1 日漏洞的漏洞利用。 Linux 内核中的三个已修复问题已公开披露(cgroup-v2021 中的 CVE-4154-1、af_packet 中的 CVE-2021-22600 和 VFS 中的 CVE-2022-0185)(这些问题已通过 Syzkaller 和两个错误修复已添加到内核中)。
这些更改将一些 1 天的漏洞利用增加到 71 美元(相对于 337 美元),并使单个漏洞利用的最大奖励为 31 美元(相对于 337 美元)。 如果他们展示了新颖的漏洞利用技术(而不是 91 美元),我们甚至会为重复支付至少 337 美元。 但是,我们还将 50 天的奖励数量限制为每个版本/构建只有一个。
每个频道每年有 12-18 个 GKE 发布,我们在不同的频道有两个小组,因此我们将支付 31 美元的基础奖励,最多支付 337 次(奖金不限)。 虽然我们不希望每次更新都有有效的 36 天发货,但我们很乐意听到其他消息。
因此,公告中提到支付的总和取决于几个因素:发现的问题是否是零日漏洞,是否需要非特权用户命名空间,是否使用了一些新的利用方法。 这些积分中的每一个都附带以下奖励 易武,这最终将工作漏洞的报酬提高到 $ 91,337。
终于如果你有兴趣了解更多 关于note,你可以在原帖中查看详细信息 在下面的链接中。