В cистеме управления контейнерной виртуализацией Docker выявлена (http://seclists.org/oss-sec/2014/q2/565) уязвимость, позволяющая выйти за пределы изолированного контейнера. Проблема устранена в релизе Docker 1.0, но присутствует в выпусках до 0.11 включительно. Для проверки наличия проблемы подготовлен прототип эксплоита (http://stealth.openwall.net/xSports/shocker.c), позволяющий из контейнера прочитать любой файл хост-системы.  Кроме Docker проблеме могут быть подвержены и другие системы контейнерной виртуализации, использующие инструменты, подобные LXC.

Техника эксполуатации основана на обращении в внешним файлам через прямой доступ к inode, которые остаются видимыми в контексте всей файловой системы после прикрепления части  данной ФС через "mount --bind". Полагая, что inode 2, как правило, связан с корнем, осуществляется последовательный перебор всех inode, пока не найдётся inode, ссылающийся на нужный файл. Проблеме также подвержены системы, в которых используются снапшоты, субразделы, chroot и специализированные ioctl для манипуляций с ФС (доступны в XFS).

Для совершения атаки необходимо иметь возможность запуска операций внутри контейнера с правами root. В Docker 1.0 проблема не проявляется благодаря удалению привилегии CAP_DAC_READ_SEARCH. При этом отмечается, что теоретически для организации похожей атаки может использоваться  привилегия CAP_MKNOD, которая пока оставлена в Docker 1.0.

URL: http://blog.docker.com/2014/06/docker-container-breakout-pro.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40046

• Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 12:04 , 20-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Michael Shigorin, 12:48 , 20-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,rob pike, 16:08 , 20-Июн-14
      • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Константавр, 16:59 , 20-Июн-14
        • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,tessel, 18:04 , 20-Июн-14
          • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 19:30 , 20-Июн-14
            • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 05:00 , 21-Июн-14
• Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 13:32 , 20-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Motif, 14:01 , 20-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 14:34 , 20-Июн-14
      • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,CssfPZS, 18:07 , 20-Июн-14
        • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 05:11 , 21-Июн-14
          • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,CssfPZS, 13:50 , 21-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 16:29 , 20-Июн-14
      • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 23:03 , 20-Июн-14
        • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 05:23 , 21-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Michael Shigorin, 19:24 , 20-Июн-14
      • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 00:40 , 21-Июн-14
        • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Led, 01:38 , 21-Июн-14
          • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 03:29 , 21-Июн-14
            • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 05:17 , 21-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Пропатентный тролль, 15:11 , 20-Июн-14
• Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,odity, 14:01 , 20-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 14:35 , 20-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Michael Shigorin, 19:25 , 20-Июн-14
• Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 15:27 , 20-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Психиатр, 15:34 , 20-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 19:48 , 20-Июн-14
      • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 19:50 , 20-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,angra, 17:04 , 20-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 17:15 , 20-Июн-14
    • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 03:38 , 21-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Аноним, 05:19 , 21-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,bOOster, 15:55 , 21-Июн-14
• Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Anonym2, 09:01 , 21-Июн-14
  • Выявлена уязвимость, позволяющая выйти за пределы контейнеро...,Anonym2, 09:23 , 21-Июн-14

Ну вот, такая страшилка с интересным эксплойтом... и приписка "В Docker 1.0 проблема не проявляется".

Случайно пофиксили...

Новый модный подход к security.
Выпускать новые версии быстрее чем к старым успевают написать эксплойт.

Так вот зачем в опенсорсе постоянно всё переписывают и ломают! Они же как зайцы - следы спутывают :)

То ли дело ссаный энтерпрайз, где баги бережно консервируют и ни в коем случае не исправляют, усиленно строя анальные ограждения вокруг баги.

…тщательно документируют их и приводят несколько workaround'ов в печатном руководстве пользователя.

> …тщательно документируют их и приводят несколько workaround'ов в печатном руководстве
> пользователя.

А настоящий энтерпрайз делает как-то так: http://www.opennet.me/opennews/art.shtml?num=40045

А вот что пишут об этом разработчики Docker:

Hi all, I'm a maintainer of Docker. As others already indicated this doesn't work on 1.0. But it could have.

Please remember that at this time, we don't claim Docker out-of-the-box is suitable for containing untrusted programs with root privileges. So if you're thinking "pfew, good thing we upgraded to 1.0 or we were toast", you need to change your underlying configuration now. Add apparmor or selinux containment, map trust groups to separate machines, or ideally don't grant root access to the application.

Docker will soon support user namespaces, which is a great additional security layer but also not a silver bullet!

When we feel comfortable saying that Docker out-of-the-box can safely contain untrusted uid0 programs, we will say so clearly.

>we don't claim Docker out-of-the-box is suitable for containing untrusted programs with root privileges
>Add apparmor or selinux containment

И кому они такие красивые нужны? SELinux и без них работает.

>  SELinux и без них работает.

И вырубается каждым первым сплойтом. А пару раз авторы сплойтов его даже благодарили за помощь. В общем соотношение геморности настройки оного vs результаты - совершенно не впечатляют.

Пруф, или небыло.

P.S. Диванный кукаретик детектед.

> Пруф, или небыло.

Посмотри исходники любого боевого сплойта на повышение прав и т.п. - там обычно вынос SELinux (а иногда и иных систем, e.g. AppArmor-а) первым делом прописаны, чтобы под ногами не мешался.

Но если тебе мало - получай, nobrainer: https://lwn.net/Articles/341773/ - там подробно изложено что хаксоры думают про SELinux. И это мнение не самое вкусное. По факту SELinux в этом эксплойте ПОМОГАЛ поиметь систему :D.

А вот настраивать эту хреноту от АНБ очень геморно. Ну АНБ оно понятно зачем - у них там вполне конкретный регламент доступа к документам и внутренние процедуры требуют мандатный контроль. Если в системе нет мандатного контроля - они не будут системой пользоваться. А вот зачем всем остальным этот кластерфак при таком соотношении затрат усилий к результату - загадка природы. Над ними то регламент предписывающий копать от забора и до обеда не висит...

>получай, nobrainer: https://lwn.net/Articles/341773/

Я конечно понимаю, что у таких кукаретиков как ты, проблемы с чтением, но
в приведенном тобой линке идет речь про баг в ядре, который затрагивает
целый ряд его внутренних подистем безопастности и НЕ ЯВЛЯЕТСЯ SELinux СПЕЦИФИЧНЫМ.

Короче дорога тебе одна, в биореактор.

Grsecurity + PaX

Саккез стори нету.

> Саккез стори нету.

Так это то и хорошо :). Потому что обычно их пишут хаксоры которым удалось прорубиться в систему :). А когда все просто работает - какое там success story?

> И кому они такие красивые нужны? SELinux и без них работает.

Только скорее не selinux, а openvz тогда.

Michael,
openvz (при всём моем к нему!) таки из другой оперы чем lxc.
Удивлён чёй ты мешаешь самогон с коньяком 8-\

> openvz (при всём моем к нему!) таки из другой оперы чем lxc.

Судя по всему, вы абсолютно "не в теме". Он из "той же оперы". И сабж к нему точто так же применим.

:-\ Да как же в той же?! Там всё на других механизмах сляпано, всё!
А впрочем - как скажете :)

> Там всё на других механизмах сляпано, всё!

IIRC идея была в том чтобы максимально переехать на услуги майнлайнового ядра, дописывая только то чего не хватило.

А вся фишка в том, что они этого никогда не скажут ;-)

Че то читал код и е понял. он выходил за пределы памяти путем переполнения ? Ну это же , хм...

> он выходил за пределы памяти путем переполнения ?

Это где такое? File:line плиз.

> е понял. он выходил за пределы памяти путем переполнения ?

Он позволял работать прям по инодам.

docker дырявый, linux дырявый, qubesos Рутковской на xen'e который тоже дырявый. Как дальше жить?

openssl дырявый, php дырявый, c/c++ сам по себе дырявый (в кривых руках) ... * тоже дырявый
Как дальше жить?

Только деревянные счёты, печатные книги, бумажные документы в стальном сейфе (упс, сейф тоже дырявый, брутфорсом их ломаютЬ) , да уж, я таки не знаю как дальше жить ...

Плохой из вас психиатор, мне ещё хуже стало

s/психиатор/психиатр

Как насчет openvz?

тоже дырявый!
;-D

Led ты чего возбудился так?  Обычной чмошный ноющий тролько, а у тебя прям ... эрекция :)

> docker дырявый, linux дырявый, qubesos Рутковской на xen'e который тоже дырявый. Как
> дальше жить?

Выкопать бункер на километровой глубине. И никакой электроники. Даже счеты лучше выбросить. На всякий случай.

*bsd !

Зачем вообще нужны хэндлы файлов?

Хотя всё равно не уязвимость, как здесь уже замечалось... :-)
(контейнеры не предотвращают подобного рода доступ).