微软将Nano服务器添加到漏洞奖励计划中

微软宣布为Nano服务器中找到严重漏洞的安全研究人员提供最多1.5万美元的奖励。Nano服务器是Window...



微软宣布为Nano服务器中找到严重漏洞的安全研究人员提供最多1.5万美元的奖励。

Nano服务器是Windows Server 2016中的一款可选安装程序，它是一款远程管理服务器操作系统，专为数据中心和私有云设计。跟Windows Server相比，Nano Server灵巧、快速并且所需的更新和重启更少。

微软表示，该产品是Hyper-V虚拟机、Scale-Out文件服务器存储主机、DNS服务器、或在虚拟机中运行云app主机的理想计算主机。

微软计划为从Windows Server 2016 Technical Preview 5及后续版本中的Nano服务器安装选项中找到漏洞的研究人员颁发500到1.5万美元的奖励。该奖励计划将会持续3个月，截止日期是7月29日，其目标是在产品仍然处于技术预览的情况下找到安全漏洞以减低对客户的影响。

如果安全研究人员能够提交一份高质量报告加上PoC演示Nano服务器中远程代码漏洞的话，可获得最多1.5万美元的奖励。如果提供的高质量报告中能够描述远程且未经验证的拒绝服务、权限升级或者其它存在于具体Nano服务器DLL中的高危漏洞，研究人员就可获得9000美元的奖励。如果能在Nano服务器DLL中找到“重要”漏洞，如欺诈和信息披露问题，可获得500美元的奖励。

微软指出，如果漏洞是从早于Technical Preview 5中发现的、或者存在于用户生成的内容中、或者利用需要管理员权限或多个用户行为，则无法享受奖励。这并非微软推出的首个临时性漏洞奖励计划。去年，微软就曾为Edge浏览器推出过为其两个月的漏洞奖励计划，并为CoreCLR和ASP.NET的试用版本推出为期三个月的漏洞奖励计划。

微软在三月份表示已经将OneDrive添加到公司的在线服务漏洞奖励计划中，奖励数额在500至1.5万美元之间。

    关注 代码卫士