기술 대기업 Google, 해커 보고에 더 큰 상금 제공 Linux 커널, GKE, Kubernetes 및 kCTF에 영향을 미치는 중요한 보안 결함.
구글은 지난해 XNUMX월 버그 현상금 보상 XNUMX배 VRP(취약점 보상 프로그램)를 통해 보고된 Linux 커널 결함에 대해 제로 데이 문제에 대해 최대 $50,337의 지불금.
이번 주에 회사는 그 금액을 거의 두 배로 늘리고 최대 보상 $91,337 특정 기준을 충족하는 익스플로잇의 경우. 최대 지불금에는 기본 보상과 XNUMX개의 보너스가 포함됩니다.
특정 취약점에 대해 제출된 첫 번째 익스플로잇에 대한 기본 보상은 $31,337이며 중복 익스플로잇에 대한 보상은 제공되지 않습니다.
그러나 검색 광고 대기업은 제로데이 보안 버그(첫 번째 유효한 익스플로잇에 대해 지불)에 대해 $20,000의 보너스를 제공하고, 권한이 없는 사용자 네임스페이스를 필요로 하지 않는 취약점에 대해 추가로 $20,000 보너스를 제공합니다(첫 번째 유효한 익스플로잇에 대해 지불). 세 번째 새로운 익스플로잇 기술을 사용하는 익스플로잇에 대해 $20,000 보너스(중복 익스플로잇에 대해 지불됨).
[ 읽다: Linux 커널 악용에 대한 Google의 현상금 XNUMX배 ]
새로운 보상 구조는 또한 참여 연구원에게 71,337일 익스플로잇에 대해 최대 $1, 새로운 기술을 사용하는 중복 익스플로잇에 대해 최소 $20,000를 벌 수 있는 가능성을 제공합니다.
그러나 Google은 1일 동안의 보상 수를 버전/빌드당 하나만으로 제한할 것이라고 말했습니다. "각 채널에는 연간 12-18개의 GKE 릴리스가 있으며 서로 다른 채널에 31,337개의 클러스터가 있으므로 최대 36번까지 XNUMX USD 기본 보상을 지불합니다(보너스 제한 없음)."
회사는 연구원들이 자체 kCTF 클러스터에서 익스플로잇을 테스트하여 VRP의 다른 참가자가 익스플로잇에 액세스하지 못하도록 할 것을 권장합니다.
또한 회사는 앞으로 제로 데이 제출에 더 이상 처음에는 플래그를 포함할 필요가 없으며 1일 보고서에는 패치에 대한 링크가 포함되어야 하며 동일한 양식을 사용하여 익스플로잇과 플래그를 모두 제출할 수 있다고 말합니다. .
[ 읽다: 구글, 새로운 크롬 제로데이 공격 확인 ]
구글은 “0day에 대한 익스플로잇 체크섬을 제출했다면 원본 익스플로잇과 최종 익스플로잇을 모두 포함했는지 확인하고 패치가 메인라인에 병합된 후 일주일 이내에 제출해야 한다”고 덧붙였다.
이 회사는 현재 REGULAR 릴리스 채널용 클러스터와 RAPID 릴리스 채널용 클러스터를 사용하여 버그 헌터에게 향상된 유연성을 제공하고 있습니다.
2021년 1월 kCTF VRP의 확장을 시작한 이후 Google은 175,000건의 제로 데이 및 XNUMX건의 XNUMX-day를 포함하여 XNUMX건의 취약점 제출을 받았고 버그 포상금으로 $XNUMX 이상을 지급했습니다.
관련 : Google, 8.7년에 버그 바운티 보상으로 2021만 달러 지급
관련 : Google, 29년 만에 버그 바운티 보상으로 10만 달러 이상 지급
관련 : Google, 취약성 보상 프로그램에 GKE 오픈 소스 종속성 추가
Ionut Arghire는 SecurityWeek의 국제 통신원입니다.
태그 :
