谷歌增加對識別 Linux 和 Kubernetes 漏洞的獎勵

在過去的幾個月裡 谷歌特別關注安全問題 在內核中找到 Linux 和 Kubernetes與去年 XNUMX 月一樣,谷歌增加了支付金額,因為該公司將針對 Linux 內核中以前未知的漏洞的漏洞利用賞金增加了兩倍。

這個想法是人們可以發現利用內核的新方法, 特別是與在雲中運行的 Kubernetes 相關。 谷歌現在報告說,該漏洞發現計劃取得了成功,在三個月內收到了九份報告,並向研究人員支付了超過 175,000 美元。

就是通過一篇博文 谷歌再次發布關於擴大倡議的公告 為識別 Linux 內核、Kubernetes 容器編排平台、Google Kubernetes Engine (GKE) 和 Kubernetes Capture the Flag (kCTF) 漏洞競賽環境中的安全問題支付現金獎勵。

該帖子提到 現在獎勵計劃包括額外的獎金 20,000 美元用於零日漏洞,用於不需要用戶命名空間支持的漏洞利用和演示新的漏洞利用技術。

在 kCTF 展示有效漏洞利用的基本獎金為 31 美元(基本獎金授予首先展示有效漏洞利用的參賽者,但獎金可用於針對同一漏洞的後續利用)。

我們增加了我們的獎勵,因為我們認識到,為了吸引社區的注意力,我們需要將我們的獎勵與他們的期望相匹配。 我們認為擴展是成功的,因此我們希望至少將其進一步擴展至年底(2022 年)。
在過去的三個月裡,我們收到了 9 份提交,到目前為止支付了超過 175 美元。

在出版物中我們可以看到 全部的, 考慮到獎金, 漏洞利用的最大獎勵 (基於對代碼庫中未明確標記為漏洞的錯誤修復的分析確定的問題) 最高可達 71 美元 (之前最高獎勵為 31 美元),對於零日問題(尚無解決方案的問題),最高可獲得 337 美元(之前最高獎勵為 91,337 美元)。 付款計劃有效期至 31 年 2022 月 XNUMX 日。

值得注意的是,在過去的三個月裡, Google 已處理 9 個請求 c包含有關漏洞的信息,為此支付了 175 萬美元。

參與研究的研究人員準備了五個針對零日漏洞的漏洞利用,兩個針對 1 日漏洞的漏洞利用。 Linux 內核中的三個已修復問題已公開披露(cgroup-v2021 中的 CVE-4154-1、af_packet 中的 CVE-2021-22600 和 VFS 中的 CVE-2022-0185)(這些問題已通過 Syzkaller 和兩個錯誤修復已添加到內核中)。

這些更改將一些 1 天的漏洞利用增加到 71 美元(相對於 337 美元),並使單個漏洞利用的最大獎勵為 31 美元(相對於 337 美元)。 如果他們展示了新穎的漏洞利用技術(而不是 91 美元),我們甚至會為重複支付至少 337 美元。 但是,我們還將 50 天的獎勵數量限制為每個版本/構建只有一個。

每個頻道每年有 12-18 個 GKE 發布,我們在不同的頻道有兩個小組,因此我們將支付 31 美元的基礎獎勵,最多支付 337 次(獎金不限)。 雖然我們不希望每次更新都有有效的 36 天發貨,但我們很樂意聽到其他消息。

因此,公告中提到支付的總和取決於幾個因素:發現的問題是否是零日漏洞,是否需要非特權用戶命名空間,是否使用了一些新的利用方法。 這些積分中的每一個都附帶以下獎勵 $ 20,000,這最終將工作漏洞的報酬提高到 $ 91,337。

終於如果你有興趣了解更多 關於note,你可以在原帖中查看詳細信息 在下面的鏈接中。


本文內容遵循我們的原則 編輯倫理。 要報告錯誤,請單擊 這裡.

成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。