The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google увеличил размер вознаграждений за выявление уязвимостей в ядре Linux и Kubernetes

17.02.2022 09:56

Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление проблем с безопасностью в ядре Linux, платформе для оркестровки контейнеров Kubernetes, движке GKE (Google Kubernetes Engine) и окружении для проведения соревнований по поиску уязвимостей kCTF (Kubernetes Capture the Flag).

В программу вознаграждений введены дополнительные бонусные выплаты размером 20 тысяч долларов за 0-day уязвимости, за эксплоиты не требующие включения поддержки пространства имён идентификаторов пользователей (user namespaces) и за демонстрацию новых методов эксплуатации. Базовая выплата за демонстрацию в kCTF рабочего эксплоита составляет 31337 долларов (базовая выплата производится участнику, первому продемонстрировавшему рабочий эксплоит, но бонусные выплаты могут быть применены и для последующих эксплоитов для той же уязвимости).

В сумме с учётом бонусов максимальный размер вознаграждения за 1-day эксплоит (проблемы, выявленные на основе анализа исправлений ошибок в кодовой базе, явно не помеченных как уязвимости) может доходить до 71337 долларов (было $31337), а за 0-day (проблемы, для которых ещё нет исправления) - 91337 долларов (было $50337). Программа выплат будет действовать до 31 декабря 2022 года.

Отмечается, что за прошлые три месяца Google обработал 9 заявок с информацией об уязвимостях, по которым было выплачено 175 тысяч долларов. Принявшими участие исследователями было подготовлено пять эксплоитов для 0-day уявзимостей и два для 1-day уязвимостей. По трём уже исправленным в ядре Linux проблемам (CVE-2021-4154 в cgroup-v1, CVE-2021-22600 в af_packet и CVE-2022-0185 в VFS) информация раскрыта публично (указанные проблемы до этого уже были выявлены через Syzkaller и для двух проблем в ядро были добавлены исправления).

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: HackerOne реализовал выплату вознаграждений за выявление уязвимостей в открытом ПО
  3. OpenNews: В 2019 году Google выплатил 6.5 млн долларов вознаграждений за выявление уязвимостей
  4. OpenNews: Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей
  5. OpenNews: Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО
  6. OpenNews: Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56710-google
Ключевые слова: google, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КО (?), 10:05, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Свобода, что тут скажешь.
     
     
  • 2.2, Альтернативно одаренный (?), 10:20, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    из-за чего бугурт?
     
     
  • 3.3, Аноним (3), 10:24, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    обязательно нужен повод?
     
  • 3.4, Аноним (4), 10:37, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    google и linux в одном предложении
     
  • 3.14, Аноним (14), 13:07, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > из-за чего бугурт?

    Сидишь себе на попе ровно, комментики на опеннете строчишь, а кто-то ррраз - и десяток-другой килобаксов получает.
    Несправедливо!


     

  • 1.5, Аноним (5), 10:39, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Прикольно. За 3 месяца пять эксплоитов для 0-day уявзимостей.
     
     
  • 2.7, Hellraiser (??), 11:11, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ещё прикольнее, что эти уязвимости уже длительное время активно используются
     

  • 1.6, Онаним (?), 10:41, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Что там с ёBPF?
     
     
  • 2.17, Аноним (17), 14:00, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    kernel.unprivileged_bpf_disabled=1
     
     
  • 3.18, Онаним (?), 14:34, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только unprivileged? А совсем?
     
     
  • 4.27, Аноним (17), 21:01, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем совсем? Штука нужная и полезная.
    Так можно и рута запретить, потому что из-под рута можно плохие вещи делать.
     
     
  • 5.30, Онаним (?), 21:09, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не вижу вообще нужности для этой штуки ни на одной из своих систем.
    Кому нужна - те и включают, а по умолчанию этот встроенный бэкдор лучше того.
     
     
  • 6.36, Аноним (36), 23:28, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ядро линукс — это бэкдор, встроенный в твой компьютер. А если серьёзно, чем исполнение скомпилированной программы из под рута безопаснее, чем исполнение программы из под рута через eBPF? И в том, и в том случае программа может быть как с открытым кодом, так и с закрытым, как с уязвимостями, так и безопасной.
     

  • 1.8, Иваня (?), 11:18, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Годно, можно работать на удалёнке на гугл :)
     
     
  • 2.9, Аноним (9), 11:30, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А можно закупиться NFT и стать королём с новым платьем.
     
     
  • 3.28, Анончик (?), 21:02, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как тонко, оценил отсылку к "Новое платье короля"
     
  • 2.11, Аноним (11), 11:35, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И дадут они вообще кому-то на удалёнку работать? Особенно сегодня.
     

  • 1.10, Аноним (11), 11:34, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Google увеличил размер уязвимостей в ядре Linux и Kubernetes

    Не до конца проснувшись, я как-то так прочитал этот заголовок. И даже не удивился.

     
  • 1.12, InuYasha (??), 11:37, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не далёк час когда M$ возьмутся платить вознаграждения за выявление сепаратистов )
     
  • 1.13, Анонимъ (?), 12:43, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плохо штоль? Хорошо!
     
  • 1.15, Аноним (15), 13:22, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А кто и сколько платит за выявленные уязвимости фрибзды?
     
     
  • 2.16, Аноним (16), 13:30, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    #ихтамнет!
     

  • 1.19, Пасть закрой (?), 16:02, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И даже тут недовольные днища в коментах нашлись =))
     
     
  • 2.23, Аноним (-), 18:34, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    О великосветский господин,  подскажите пожалуйста, почем нынче удовольство для народа?
    Т.е. сколько платят за то, чтобы быть довольным?
     

  • 1.22, Аноним Анонимный (?), 18:32, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да просто им нужно это, так как их Android и Chrome OS на линуксе основаны. Вот и хотят исправить уязвимости. Если бы использовали другую основу, то им бы было всё равно
     
     
  • 2.37, Аноним (36), 23:31, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Капитализьм, чё. Почему их должен волновать какой-то опенсорц? Они — это толпа директоров, единственная цель которой — нажива любыми допустимыми методами. То, что Linux имеет от этого какую-то выгоду — это заслуга GPL.
     

  • 1.24, Судья из Калифорнии с опытом программирования (?), 18:59, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что за фетиш на 337?
     
     
  • 2.29, Анончик (?), 21:04, 17/02/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    leet
     

  • 1.26, Аноним (-), 20:53, 17/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К8S,docker, пугл и компания - похоронная процессия ожиревшей птицы. Нет больше в этом стане праведников.
     
  • 1.33, СССР (?), 10:46, 18/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    после того как уязвимость найде, гугл как часто и как быстро информирует сообщество? Есть такая информация?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру