Google har lanceret et nyt bug bounty-program, der fokuserer specifikt på open source-software. Det skriver ZDnet.
’Dusørjægerne’ kan fra 100 dollar op til 31.000 dollar via det nye såkaldte Open Source Software Vulnerability Rewards Program (OSS VRP), afhængigt af hvor kritisk den fundne sårbarhed er.
Problemet består i, at RSA-implementeringer med 2048 bit private nøgler håndteres således, at 'hukommelsesoverload' vil ske under udførelse af instrukser. Som en konsekvens af hukommelsenkorruptionen kan en angriber udløse en fjerneksekvering af kode på den maskine, der udfører beregningen.
SSL/TLS-servere eller andre servere, der kører med 2048 bit RSA private nøgler på enheder, som understøtter AVX512IFMA-instruktioner for X86_64-arkitekturen, er berørt af dette problem.
Det Hvide Hus mødes torsdag i denne uge med ledere af store teknologivirksomheder, herunder Apple, Google, Amazon, Meta, IBM og Microsoft for at diskutere sikkerheden ved open source-software.
Det skriver The Verge.
Topmødet inkluderer også Apache Software Foundation, der ejer og vedligeholder Log4j-biblioteket - og Oracle, der ejer Java-softwareplatformen, som Log4j-biblioteket kører på. Også GitHub og Linux Open Source Foundation er inviteret til mødet.