|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от opennews (ok) on 27-Ноя-16, 12:10 | ||
В инструментарии управления изолированными контейнерами LXC выявлена (http://openwall.com/lists/oss-security/2016/11/23/6) уязвимость (CVE-2016-8649 (https://security-tracker.debian.org/tracker/CVE-2016-8649)), позволяющая (https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/1639345) при наличии прав root внутри непривилегированного контейнера (работающего в отдельном user namespace) получить доступ к файлам хост-системы и выполнить свой код вне изолированного окружения. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
2. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –2 +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 12:35 | ||
Давать кому попало рута в контейнере - это уже заведомо хождение по минному полю. Такие уязвимости, боюсь, будут всегда. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –2 +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 12:57 | ||
> Давать кому попало рута в контейнере - это уже заведомо хождение по | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
6. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 13:14 | ||
Да фиг с ним, с lxc, тут основная проблема в ptrace(). | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 13:18 | ||
Ну, то есть как. Не хотели, потому что ядро не обеспечивало достаточной изоляции само по себе. Проверки в юзерспейсе - это заведомо ненадежный способ. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
17. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 16:11 | ||
> Ну, то есть как. Не хотели, потому что ядро не обеспечивало достаточной | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
11. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +2 +/– | |
Сообщение от Anonymous_1 on 27-Ноя-16, 14:46 | ||
Смысл тогда в контейнере, если рута не давать?) | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
12. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –3 +/– | |
Сообщение от username (??) on 27-Ноя-16, 15:23 | ||
Хм, ну поясни зачем тебе там рут, просто интересно. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
13. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от хомяк on 27-Ноя-16, 15:33 | ||
Как запустить nginx без root? | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
18. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +4 +/– | |
Сообщение от username (??) on 27-Ноя-16, 16:53 | ||
Так же как и с рутом. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
45. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Аноним (??) on 28-Ноя-16, 08:20 | ||
> Что вполне решается навешиванием атрибутов (привилегий) на бинарник nginx | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
59. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Аноним (??) on 29-Ноя-16, 00:45 | ||
Непривилегированные контейнеры с разрешенным CAP_NET_BIND_SERVICE | ||
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору |
48. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от PnDx (ok) on 28-Ноя-16, 15:06 | ||
Порт за-DNAT-ить. Обычно приемлемо, если в conntrack не упирается. (Но где это проблема, там lxc с iptables'ами по фигу наверное, т.к. netmap и прочее интересное.) | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
21. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +11 +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 18:42 | ||
> Как запустить nginx без root? | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
49. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от PnDx (ok) on 28-Ноя-16, 15:08 | ||
> Уже дюжину лет как | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
52. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –3 +/– | |
Сообщение от Аноним (??) on 28-Ноя-16, 17:31 | ||
> # sysctl -a | grep security | wc -l | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
53. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Michael Shigorin (ok) on 28-Ноя-16, 18:19 | ||
> Да и в целом просто прикольный эксперимент - вон, пока не знали | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
58. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –2 +/– | |
Сообщение от pavlinux (ok) on 29-Ноя-16, 00:00 | ||
$ sysctl security.mac.portacl.rules=uid:80:tcp:80 | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
14. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от angra (ok) on 27-Ноя-16, 15:33 | ||
Начни с рассказа, зачем тебе вообще рут где-либо. Может в процессе и сам поймешь. Контейнер ничем особо не отличается от железной машины для большинства задач. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
37. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 22:42 | ||
> Начни с рассказа, зачем тебе вообще рут где-либо. Может в процессе и | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
39. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от angra (ok) on 27-Ноя-16, 22:52 | ||
Тебе надо помочь сделать следующий шаг? Если рут тебе обычно нужен для запуска своих сервисов, то рут в контейнере тебе нужен ... для запуска в нем своих сервисов. Неожиданно, правда? | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
15. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от angra (ok) on 27-Ноя-16, 15:34 | ||
Расскажи это хостерам с openvz, они посмеются. А тем, кто заикнется про XEN и прочая, можно напомнить, сколько уязвимостей было там. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
22. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 19:11 | ||
В openvz похожие уязвимости были. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
29. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +6 +/– | |
Сообщение от angra (ok) on 27-Ноя-16, 20:28 | ||
Уязвимости находили практически везде. Объявишь весь софт минным полем и откажешься от него? | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
33. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 21:55 | ||
Это был ответ на "расскажи хостерам". | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
36. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +2 +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 22:40 | ||
> В целом же, openvz изначально сделан грамотно | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
38. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –2 +/– | |
Сообщение от angra (ok) on 27-Ноя-16, 22:45 | ||
> достичь безопасности на дырявом ядре за счет проверок в userspace там никому в голову не приходило | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
40. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 22:55 | ||
Я имел ввиду linux containers в их текущем состоянии, а не какие-нибудь там абстрактные контейнеры. | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
42. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от angra (ok) on 28-Ноя-16, 00:02 | ||
Теперь стало понятней и я даже частично согласен. По-крайней мере давать чистого рута без отображения через namespaces точно не стоит. Но и с непривилегированными как видим могут быть некоторые проблемы. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
43. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Валик228 on 28-Ноя-16, 04:57 | ||
> В целом же, openvz изначально сделан грамотно. Openvz - это прежде всего патчи на ядро, достичь безопасности на дырявом ядре за счет проверок в userspace там никому в голову не приходило. | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
44. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +2 +/– | |
Сообщение от angra (ok) on 28-Ноя-16, 07:32 | ||
Целиком? Сам то пробовал, компетентный ты наш? Кое-какую функциональность с vzctl 4.x и ванильным ядром получить конечно можно, но это будет лишь жалкая тень openvz, уступающая lxc. Полноценная работа openvz возможна лишь с их ядром. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
50. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –2 +/– | |
Сообщение от Аноним (??) on 28-Ноя-16, 16:10 | ||
не тупи ;-) | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
54. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –1 +/– | |
Сообщение от angra (ok) on 28-Ноя-16, 22:12 | ||
Ничего себе степень альтернативной одаренности. Да если весь патч openvz перейдет в ванилу, то это будет просто праздник. Все бы так сливались. | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
55. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от Аноним (??) on 28-Ноя-16, 22:53 | ||
нет сил свое тянуть, cgroups + linux-vserver наступают на пятки, клиенты уже нос воротят - когда в ответ на запрос исходников им дулю суют, вот и приходится сливать.. | ||
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору |
57. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –1 +/– | |
Сообщение от angra (ok) on 28-Ноя-16, 23:10 | ||
> linux-vserver наступают на пятки | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
60. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –1 +/– | |
Сообщение от Аноним (??) on 29-Ноя-16, 13:01 | ||
а тебе Parallels сколько отстегнул ? | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
47. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от Аноним (??) on 28-Ноя-16, 14:48 | ||
> Уязвимости находили практически везде. Объявишь весь софт минным полем и откажешься от | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
28. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 20:09 | ||
> Давать кому попало рута в контейнере - это уже заведомо хождение по | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
30. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –1 +/– | |
Сообщение от Michael Shigorin (ok) on 27-Ноя-16, 21:21 | ||
> Давать кому попало рута в контейнере - это уже заведомо хождение по минному полю. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
32. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | –2 +/– | |
Сообщение от Аноним (??) on 27-Ноя-16, 21:48 | ||
там просто уже некому делать вменяемый код. | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
35. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от KonstantinB (ok) on 27-Ноя-16, 22:00 | ||
> Смотря в каком | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
51. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +/– | |
Сообщение от Ванга on 28-Ноя-16, 16:54 | ||
Так опенвз вроде слился с виртуоззо? | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
56. "Уязвимость в LXC, позволяющая получить доступ к файлам вне к..." | +1 +/– | |
Сообщение от Аноним (??) on 28-Ноя-16, 22:53 | ||
> Так опенвз вроде слился с виртуоззо? | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
61. "Свой OS template в openvz контейнере" | +/– | |
Сообщение от seyko (??) on 30-Ноя-16, 03:53 | ||
Какой host-провайдере предоставляет возможность использовать свой OS-template для контейнеров openxz ? Почему-то большинство предлагают только ими приготовленные заготовкии. Своя ОС -- только при использовании KVM (в виде ISO) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |