ZDI заплатит до $200 000 за RCE-эксплойты в веб-приложениях

ZDI заплатит до $200 000 за RCE-эксплойты в веб-приложениях

Инициатива по поиску уязвимостей нулевого дня Zero Day Initiative (ZDI), основанная компанией Trend Micro, призывает исследователей искать 0-day бреши удаленного выполнения кода (RCE) в нескольких продуктах на стороне сервера. За некоторые из них ZDI обещает выплатить до 200 000 долларов.

Брайан Горенц, представитель ZDI, поясняет:

«Начиная с 1 августа мы будем предлагать специальную денежную премию за обнаружения отдельных недостатков безопасности. Предложение будет ограничено по времени».

Исследователи смогут получить вознаграждения за бреши в следующих продуктах: Joomla, Drupal, WordPress, NGINX, Apache HTTP Server и Microsoft IIS.

Как только будет выплачен первое вознаграждение, продукт будет удален из списка. Зато в этом же списке появится новый продукт, обнаружение уязвимости в котором будет стоить своих денег. Первый исследователь, предоставивший рабочий эксплойт, позволяющий удаленно выполнить код, получит полную сумму вознаграждения.

Остальным тоже что-нибудь перепадет, так как их материалы все равно будут использованы ZDI, следовательно, за них заплатят определенную сумму в рамках другой программы по поиску уязвимостей.

Авторы инициативы подчеркивают, что 0-day эксплойт должен использовать уязвимость в самом продукте, а не в стороннем плагине или аддоне. Также обязательным условием является предоставление полностью рабочей версии эксплойта, а не только POC-кода.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг Ubuntu настолько серьёзен, что даже Red Hat советует патчиться

Уязвимость Linux-дистрибутива Ubuntu оказалась настолько опасной, что даже Red Hat настоятельно рекомендует всем обновить версию ОС. Согласно описанию, эта проблема позволяет процессу выбраться за пределы пространства имён (User namespace).

Выявленная и пропатченная брешь под идентификатором CVE-2022-0185 потенциально затрагивает любую машину с запущенными контейнерами. Если вы не работаете с контейнерами, вам подойдёт отключение функциональности user-namespace.

Среди затронутых версий перечислены Ubuntu 20.04, 21.04 и 21.10, но другие дистрибутивы могут также страдать от бага. К слову, 20 января 2022 года срок поддержки Ubuntu 21.04 подошёл к концу, так что пользователям рекомендуют срочно установить более актуальный релиз.

Ubuntu 22.04 всё ещё находится на стадии тестирования. Её выход запланирован на 21 апреля; по слухам, она будет включать GNOME 42.

Напомним, что месяц назад в компоненте GNOME AccountsService обнаружили уязвимость, с помощью которого атакующие могли повысить права в системе. Тогда проблеме присвоили номер CVE-2021-3939.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru