02.07.2022

Google увеличил размер вознаграждений за выявление уязвимостей в ядре Linux и Kubernetes

Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в ядре Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для демонстрации атак kCTF (Kubernetes Capture the Flag).

В программу вознаграждений введены дополнительные выплаты, размером 20 тысяч долларов за 0-day уявзимости, за эксплоиты не требующие включения поддержки пространства имён индентификаторов пользователей (user namespaces) и за демонстрацию новых методов эксплуатации. Базовый размер вознаграждения увеличен с 31337 до 71337 долларов. Максимальный размер вознаграждения теперь составляет 91337 долларов (было 50337). Программа выплат будет действовать до 31 декабря 2022 года.

Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей (проблемы, для которых ещё нет исправления) и два для 1-day уязвимостей (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, явно не помеченных как уязвимости). По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух пробоем в ядро были добавлены исправления).

Источник.