Kubernetes推出漏洞奖励计划：最高1万美元

本周，云原生计算基金会 (CNCF)宣布为Kubernetes推出公开的漏洞奖励计划，最高奖赏1万美元。

Kubernetes(K8s) 是一款用于自动化部署、扩展和管理容器化应用的开源系统。它最初由谷歌开发，目前由CNCF负责维护。

这项漏洞奖励计划在 HackerOne 平台开展，CNCF 表示将尽力在漏洞报告提交1个工作日期间给出回应，从报告提交后的10个工作日内解决漏洞问题，并在解决问题后10个工作日内支付奖励金。

奖励金分三个等级

奖励金范围是100美元至1万美元之间，共分为三个层级：如研究人员能找到影响K8s 内核的漏洞，可被用于修改源代码以及针对已发布软件执行DoS 攻击的漏洞，则可获得的最高奖励是1万美元；如研究人员找到的漏洞影响的是非内核类组件，则可获得的最高奖励是5000美元；如果研究人员找到的弱点影响 K8s 基础设施或者内核中的测试功能，则最高可获得2500美元的奖励。

CNCF表示，这项漏洞奖励计划由K8s 产品安全委员会管理，委员会成员是谷歌、红帽和Shopify 公司的代表。这项奖励计划是在K8s 经过安全审计后发现某些严重漏洞的几个月之后推出的。

计划涵盖范围

HackerOne平台上列出了该漏洞奖励计划涵盖的目标和漏洞类型。

计划涵盖范围：

集群攻击

针对 Beta & GA 功能的攻击，除非在下文明确排除的功能：

• 因RBAC、ABAC、pod 安全策略中的提权漏洞

• 树内身份验证处理程序中的验证漏洞

• 包括OIDC、x509证书、服务账户、webhook 身份验证器、持有者令牌等

• 通过kubelet API 实现的提权漏洞

• Kubelet、api 服务器中的远程代码执行漏洞

• 通过K8s API 实现的越权etcd 权限

• API、名称空间、etcd 中的路径遍历攻击

• 公开可访问的未认证端点中的信息泄露（如工作负载名称）漏洞

• 不包括故意泄露的信息如K8s 版本和已启用的API

• 可靠抑制特权操作的渗透日志

• 意外编辑、删除或更改K8s组件（如kubelet）中主机文件系统上文件权限的漏洞

• 非权限容器或用户在集群内执行持久的DoS 攻击

供应链：（不包括针对维护人员的社工攻击）

• 向任何K8s组织仓库提交的越权代码

• 包括：

github.com/kubernetes{,-client,-csi,-incubator,-retired,-security,-sigs}/*

• 对github.com/kubernetes-security 的越权访问

• 发布未授权内容

• 越权修改github 数据

• CI/CD 凭证泄露

• 在CI/CD 基础设施中执行

• 越权推送、更新或删除任何 K8s 所有仓库的容器图像

• 包括k8s.gcr.io、gcr.io/kubernetes-ci—images

组件

• 针对稳定版和受支持K8s 版本（最近发布的3个版本）的攻击

• 社区维护的稳定的云平台插件

• 其它云平台插件中的漏洞也应该通过相关提供商进行报告

• 树内 (k8s.io/kubernetes) 稳定卷插件

另外，虽然某些漏洞问题虽然涵盖在计划内，但目前无法申请奖励金。

具体详见：

https://hackerone.com/kubernetes

原文链接

https://www.securityweek.com/public-bug-bounty-program-launched-kubernetes

https://hackerone.com/kubernetes

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。