20000到91337美元,谷歌公布2022年漏洞奖励计划

1798

2月14日,谷歌安全博客发布文章宣布,截止到2022年12月1日,谷歌将支付20000到91337美元给在Linux 内核、Kubernetes、GKE 或 kCTF 中找到漏洞的人。

2021年11月1日,谷歌启动了 kCTF VRP 的扩展,向破坏 kCTF 集群并获得标识的人支付了 31337 至 50337 美元。为了吸引社区的注意力,2022年,谷歌将增加奖励。

在过去的三个月中,谷歌一共收到了9份提交资料,到目前为止支付了超过17.5万美元。提交的材料包括五个 0day 和两个 1days0。其中三个已经被修复并公开:CVE-2021-4154,CVE-2021-22600(patch)和CVE-2022-0185(writeup)。这三个错误是由Syzkaller首先发现的,其中两个在报告给谷歌时已经在Linux内核的主线和稳定版本上被修复了。

bug提交程序

根据以往经验,谷歌改进了提交程序。

  • 0day错误报告时,只需要提供漏洞检查集。不过仍然需要漏洞利用,并在补丁合并到主线后的一周内提交标识。请确保漏洞在最小修改下可能在COS上运行;
  • 1day错误报告时,需要提交补丁链接,如果标识有效,谷歌将自动发布所有提交的补丁。谷歌鼓励开发者使用Syzkaller仪表板报告的链接,以减少重复提交;
  • 开发者能够以与提交标识相同的形式提交漏洞。如果是提交0day漏洞检查集,请确保包括了原始漏洞和最终漏洞,并确保在补丁合并到主线后一周内提交。最初的漏洞不需要进行重大修改即可使用。为了方便理解漏洞,提交时请添加评论。
  • 谷歌现在运行两个集群,REGULAR release channel和 RAPID release channel。如果漏洞只能在现代版本的Linux内核或Kubernetes上被利用时,这将提供更大的灵活性。

奖励结构调整

同时,谷歌也调整了奖励结构:

  • 第一个有效提交漏洞的人将获得31337美元。每个漏洞只支付一次,每个集群版本/构建只支付一次(可在/etc/node-os-release中找到)。对于同一漏洞的重复利用,奖励为0美元。
  • 0day漏洞利用奖励20000美元,但只支付给第一个有效提交者。
  • 不需要非特权用户命名空间(CLONE_NEWUSER)的漏洞利用奖励20000美元,但只支付给第一个有效提交者。
  • 发现使用新型漏洞技术的漏洞奖励20000美元。

其中,1day漏洞利用的奖励从31337美元增加到71337美元,单个攻击的最高奖励从50337美元上升到91337美元。