Google расширил программу стимулирования выявления уязвимостей в ядре Linux

10.08.2022 20:06

Компания Google объявила о расширении инициативы по выплате денежных вознаграждений за выявление уязвимостей в ядре Linux. Максимальный размер выплаты за новую уязвимость и создание на её основе рабочего эксплоита увеличен с 91 до 133 тысяч долларов. Помимо ранее применявшегося окружения kCTF (Kubernetes Capture the Flag) для попыток взлома предложены новые окружения: на основе последней стабильной ветки обычного ядра Linux и на основе ветки ядра, в которую включены дополнительные патчи для блокирования типовых методов работы эксплоитов.

За создание эксплоитов, поражающих окружение со свежей стабильной веткой ядра, выплачивается дополнительное вознаграждение в 21 тысячу долларов. За взлом окружения с расширенными мерами защиты может быть выплачена ещё одна 21 тысяча долларов. Отмечается, что предложенные расширенные меры защиты способны блокировать 9 из 10 полученных в прошлом году уязвимостей и 10 из 13 претендующих на получение вознаграждения эксплоитов.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57621-kernel

Ключевые слова: kernel, googl, linux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (53)

1.1, Аноним (1), 20:14, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как-то маловато для корпорации добра, такие вещи дороже стоят. // b.

2.6, Google (?), 20:24, 10/08/2022 [^] [^^] [^^^] [ответить]	+3 +/–
А дело не в цене, а в том сколько мы получаем откликов. Откликов мы получаем нормальное количество, так что нет смысла платить больше. // b.

3.50, Аноним (50), 14:38, 11/08/2022 [^] [^^] [^^^] [ответить]	–2 +/–
В ядре не одного нормального ЯП. Не пора ли туда Карбон включить?

2.13, Аноним (-), 20:28, 10/08/2022 [^] [^^] [^^^] [ответить]	+2 +/–
> корпорации добра Сейчас такое и с сарказмом трудно выговорить.

3.38, Аноним (38), 09:20, 11/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Добра на букву "Г".

1.2, РАСТОМАН (?), 20:17, 10/08/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

2.15, Аноним (-), 20:30, 10/08/2022 Скрыто ботом-модератором [к модератору]	–2 +/–

3.17, Аноним774 (?), 20:35, 10/08/2022 Скрыто ботом-модератором [к модератору]	+/–

....ответы скрыты (2)

1.4, Google (?), 20:22, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Поясняю это всё делается для того чтобы было проще внедрить в ядро единственный быстрый и безопасный язык Carbon.

2.11, Аноним (-), 20:26, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
Почему не перейти на Fuchsia?

3.14, Google (?), 20:30, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
Потому что не готово. Но язык Carbon может сделать безопаснее всё на свете.

4.21, Mickey_Mouse (?), 21:50, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
Rust сделает безопасным?

5.33, Google (?), 08:52, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Всё, совсем всё!

5.47, Аноним (47), 13:25, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Кхм... А что если переписать rust на carbon'е. Он же от этого еще безопасней станет. Ж)

5.51, Аноним (50), 14:39, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
> Rust сделает безопасным? Зачем нужен Раст когда есть Карбон?

4.30, Аноним (-), 03:35, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
> Потому что не готово. Но язык Carbon может сделать безопаснее всё на свете. Вот ща, только вебмакак переучат на него дрова писать и перепишут FatFS с игогошечки :)

2.39, Аноним (38), 09:20, 11/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Cabron же.

1.5, Аноним (-), 20:22, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Чтобы выявлять уязвимости надо их сначала самому туда и внедрить.

2.7, Аноним774 (?), 20:24, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
Касперского цитируете?

3.9, Google (?), 20:26, 10/08/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Касперского мы в Гугле не любим. Касперский эта табу. Нельзя говорить про Касперского. Касперского не существует. Это не маркетинг Касперского.

3.24, Аноним (24), 23:16, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
Где почитать?

2.8, Google (?), 20:25, 10/08/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Ошибаетесь, молодой человек, хорошая уязвимость эта та, которую никто не смог найти.

1.12, Аноним774 (?), 20:27, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Гугл явно хочет выкатить свое ядро на карбоне

2.16, Google (?), 20:30, 10/08/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Очень хотим, но всему своё время.

2.52, Аноним (50), 14:42, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Карбон это будущее, но его сначала надо протестировать на ядре линукса

1.18, Аноним (18), 20:59, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А зачем гуглу уязвимости? Чтобы эксплуатировать? Пока нет патчей и действует эмбарго?

2.19, Аноним (19), 21:14, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
Действительно, зачем крупнейшему пользователю линукса знать о дырах в ядре?

3.23, Аноним (18), 22:41, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
:) Чтобы "менее крупные" не узнали пока эмбарго?

4.28, Neon (??), 02:23, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Какое эмбарго в линуксах ?!

5.36, Аноним (36), 08:56, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Полное и окончательное!

5.59, Аноним (59), 16:12, 13/09/2022 [^] [^^] [^^^] [ответить]	+/–
Суд по GPL над астрой.

4.56, Аноним (56), 19:01, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Ага, а когда эмбарго кончится, Гугл такой из-за угла выскочит и «азазазаза лохи у нас давно всё пропатчено, мы самые крутые». Там же в руководстве исключительно дети сидят и ерундой маются.

5.57, Аноним (18), 21:36, 11/08/2022 [^] [^^] [^^^] [ответить]

+/–

> когда эмбарго кончится, Гугл такой из-за угла выскочит

Зачем ждать конца эмбарго?

Можно во время действия эмбарго, имея рабочий эксплойт в виде "честно и щедро оплаченного" PoC, а не из незаконной темной сети, заскочить к лохам, ой, к своим клиентам, ждущим конца эмбарго, как самый крутой.

2.29, Neon (??), 02:25, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Какое может быть эмбарго в линуксах ?!)

3.43, Neon (??), 12:52, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Чтобы это узнать, нужно подумать. Думать больно, понимаю.

1.22, Анониммус (?), 21:51, 10/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Слава богу есть еще компании которые готовы оплачивать высоко квалифилированных разработчиков. А то на одних донатах не проживешь. Так хоть кто-то двигает софт в прекрасное будущее.

2.25, Аноним (24), 23:17, 10/08/2022 [^] [^^] [^^^] [ответить]	+/–
высококвалифилированных. Извините )

3.26, Аноним (26), 00:14, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
высококвалифицированных. Пардон )

4.35, Аноним (36), 08:56, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
высококвалифицированных. Сорри )

5.44, Аноним (44), 12:54, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
да хотя бы просто квалифицированных. Аревуар.

6.45, Аноним (45), 13:24, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
простоквалифицированных. Силь ву пле )

7.49, Аноним (44), 13:51, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
простоквалифицированных. Сорян )

8.55, Аноним (55), 17:08, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
простоквалифицированных Извините ... текст свёрнут, показать

1.27, Neon (??), 02:22, 11/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Нужно больше уязвимостей.) Предлагаю лайфхак. Делаешь заранее в ядре уязвимость, а потом его находишь и получаешь за это денюжку. Профит)))

2.31, Аноним (-), 03:38, 11/08/2022 [^] [^^] [^^^] [ответить]

+/–

> Нужно больше уязвимостей.) Предлагаю лайфхак. Делаешь заранее в ядре уязвимость, а потом
> его находишь и получаешь за это денюжку. Профит)))

Они комиты еще и читают, так что ты довольно быстро лишишься работы и репутации. После этого твою гениальность будете оценивать на двоих с твоей ср@ной кошкой.

А вон то вроде бы поймано гуглом и syzbot'ом, в контексте углубленного изучения контейнеризации.

3.32, Аноним (32), 05:37, 11/08/2022 [^] [^^] [^^^] [ответить]	–2 +/–
> Они комиты еще и читают, так что ты довольно быстро лишишься работы и репутации. Читают, видимо, тоже быстро? Иначе откуда вдруг берутся уязвимости, тем более несвежие?

4.34, Google (?), 08:55, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Мы ничего не читаем. Это люди читают, в своем ритма, как им нравится.

1.37, АнонимкаРастуимка (?), 09:18, 11/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
вот когда будет на раст, тогда вообще платить не надо будет!

2.42, Mickey_Mouse (?), 12:51, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Тогда платить будут тем, кто перепишет обратно на Си.

1.40, Аноним (40), 09:51, 11/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А сколько производитель BolgenOS за такое платит?

2.46, Аноним (45), 13:25, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Он платит пивас.

3.48, Аноним (44), 13:50, 11/08/2022 [^] [^^] [^^^] [ответить]	+/–
Тоже неплохо, а какой пивас?

1.58, InuYasha (??), 12:42, 12/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Да ну, АНБ Сышыа заплатит больше )

игнорирование участников | лог модерирования

Добавить комментарий

Текст: