Google увеличил размер вознаграждений за выявление уязвимостей в ядре Linux и Kubernetes
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в ядре Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для проведения соревнований по поиску уязвимостей kCTF (Kubernetes Capture the Flag).
В программу вознаграждений введены дополнительные бонусные выплаты размером 20 тысяч долларов за 0-day уявзимости, за эксплоиты не требующие включения поддержки пространства имён индентификаторов пользователей (user namespaces) и за демонстрацию новых методов эксплуатации. Базовая выплата за демонстрацию в kCTF рабочего эксплоита составляет 31337 долларов (базовая выплата производится участнику, первому продемонстрировавшему рабочий эксплоит, но бонусные выплаты могут быть применены и для последующих эксплоитов для той же уязвимости).
В сумме с учётом бонусов максимальный размер вознаграждения за 1-day эксплоит (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, явно не помеченных как уязвимости) может доходить до 71337 долларов (было $31337), а за 0-day (проблемы, для которых ещё нет исправления) - 91337 долларов (было $50337).
Программа выплат будет действовать до 31 декабря 2022 года.
Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей и два для 1-day уязвимостей. По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух пробоем в ядро были добавлены исправления).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://security.googleblog.co...)
- OpenNews: HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО
- OpenNews: В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей
- OpenNews: Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей
- OpenNews: Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО
- OpenNews: Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play
Похожие новости:
- Google представил Chrome OS Flex, пригодный для установки на любое оборудование
- Инициатива Alpha-Omega, нацеленная на повышение безопасности 10 тысяч открытых проектов
- Google Drive по ошибке выявляет нарушения авторских прав в файлах с одним числом
- Google выделил миллион долларов на работу по повышению безопасности открытого ПО
- Google перейдёт к развитию новшеств для Android в основном ядре Linux
- GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust
- Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
- Google профинансирует аудит безопасности 8 важных открытых проектов
- EFF опубликовал apkeep, утилиту для загрузки APK-пакетов с Google Play и его зеркал
- Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux
Теги для поиска: #_google, #_security
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 22:03
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в ядре Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для проведения соревнований по поиску уязвимостей kCTF (Kubernetes Capture the Flag). В программу вознаграждений введены дополнительные бонусные выплаты размером 20 тысяч долларов за 0-day уявзимости, за эксплоиты не требующие включения поддержки пространства имён индентификаторов пользователей (user namespaces) и за демонстрацию новых методов эксплуатации. Базовая выплата за демонстрацию в kCTF рабочего эксплоита составляет 31337 долларов (базовая выплата производится участнику, первому продемонстрировавшему рабочий эксплоит, но бонусные выплаты могут быть применены и для последующих эксплоитов для той же уязвимости). В сумме с учётом бонусов максимальный размер вознаграждения за 1-day эксплоит (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, явно не помеченных как уязвимости) может доходить до 71337 долларов (было $31337), а за 0-day (проблемы, для которых ещё нет исправления) - 91337 долларов (было $50337). Программа выплат будет действовать до 31 декабря 2022 года. Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей и два для 1-day уязвимостей. По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух пробоем в ядро были добавлены исправления). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 22:03
Часовой пояс: UTC + 5