Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.3.2 (https://docs.docker.com/release-notes/), в котором устранены две уязвимости (http://www.openwall.com/lists/oss-security/2014/11/24/5), статус которых отмечен как критически опасный:

-  CVE-2014-6407  - возможность извлечения файлов из контейнера в произвольную часть ФС хост-системы при выполнении команд "docker pull" или "docker load". Уязвимость вызвана некорректной обработкой жестких и символических ссылок в коде извлечения данных из образа контейнера. При успешной организации атаки возможно инициирование выполнения кода на стороне хост-системы и повышение своих привилегий. Проблема проявляется во всех версиях Docker, до выпуска Docker 1.3.2, в который добавлены дополнительные проверки и задействовано chroot-окружение при извлечении данных.

-  CVE-2014-6408 - создатель образов может обойти ограничения, заданные для выполнения изолированного контейнера. Проблема проявляется только в выпусках  1.3.0 и 1.3.1, и может привести к выходу за пределы контейнера. Причиной является предоставление создателю образа возможности привязки опций безопасности к образам, что может быть использовано для изменения профиля безопасности по умолчанию для контейнеров, построенных с использованием данных образов.

URL: http://www.openwall.com/lists/oss-security/2014/11/24/5
Новость: http://www.opennet.me/opennews/art.shtml?num=41124

• Обновление Docker 1.3.2 с устранением критических уязвимосте...,iZEN, 12:54 , 25-Ноя-14
  • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 13:13 , 25-Ноя-14
    • Обновление Docker 1.3.2 с устранением критических уязвимосте...,iZEN, 14:45 , 25-Ноя-14
      • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 15:35 , 25-Ноя-14
        • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Вася лодочник, 17:19 , 25-Ноя-14
        • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 17:19 , 25-Ноя-14
          • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 22:26 , 25-Ноя-14
        • Обновление Docker 1.3.2 с устранением критических уязвимосте...,iZEN, 16:05 , 30-Ноя-14
  • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 15:39 , 25-Ноя-14
  • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 16:59 , 25-Ноя-14
• Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 13:39 , 25-Ноя-14
• Обновление Docker 1.3.2 с устранением критических уязвимосте...,softfire, 15:30 , 25-Ноя-14
  • Обновление Docker 1.3.2 с устранением критических уязвимосте...,vn971, 21:37 , 28-Ноя-14
    • Обновление Docker 1.3.2 с устранением критических уязвимосте...,Аноним, 16:10 , 29-Ноя-14

В Jail эти детские проблемы давно решены.

Jail можно скинуть на другую машину ?

> Jail можно скинуть на другую машину ?

Простым копированием по NFS.

без остановки?

да, с прямыми руками

Да вот видео http://www.7he.at/freebsd/vps/docs/demo_2012.mp4

А вот патч http://www.7he.at/freebsd/vps/

Ух ты! А я как то пропустил что таки допилили - спасибо!

https://www.linux.org.ru/forum/admin/10850758

Только есть пара нюансов:
1. Ты понятия не имеешь как работает Jail (жабист же)
2. Ты понятия не имеешь как работает Docker и почему это не то же самое, что и Jail
3. Docker лишь на 1% похож на Jail

В новости речь идёт о _создании_ контейнера, а не его эксплуатации. Jail можно так же не безопасно _создать_ и эта проблема не решена никак.

почему новостей про очередное обновление докера так мало, ежели у меня из OBS  каждый день новый докер прилазит?

Сырой еще.

Был сырой, есть сырой и бу... Ой, простите. Хотел просто сказать что они не позиционируют свою наработку как инструмент безопастности. Скорее быстрая развёртка приложений (aufs), шарилка конфигов (index.docker.io) и т.д.

Безопасность тут и не нужна по определению софта.