форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+/–
Сообщение от opennews (ok) on 13-Янв-17, 11:34
В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена (http://seclists.org/oss-sec/2017/q1/54) опасная уязвимость (https://bugzilla.redhat.com/show_bug.cgi?id=1409531) (CVE-2016-9962 (https://security-tracker.debian.org/tracker/CVE-2016-9962)), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой (https://github.com/opencontainers/runc/commit/50a19c6ff828c5...) в runtime  runC (http://runc.io/), который используется по умолчанию начиная с ветки Docker 1.11 (https://www.opennet.me/opennews/art.shtml?num=44246), и также применяется (https://coreos.com/blog/cve-2016-9962.html) в некоторых других системах RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных  через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена (https://www.opennet.me/opennews/art.shtml?num=45573) в ноябре в инструментарии LXC. URL: http://seclists.org/oss-sec/2017/q1/54 Новость: http://www.opennet.me/opennews/art.shtml?num=45848
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	–1 +/–
Сообщение от hoopoe (ok) on 13-Янв-17, 11:34
не очень понятно: user space библиотека управляет доступом из контейнера? а что помешает выполнить аналогичный код в другой библиотеке? или она работает вне контейнера?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+/–
	Сообщение от sage (??) on 15-Янв-17, 11:44
	Она работает вне контейнера, но дает возможность приложениям, выполняемым в контейнере, которые были запущены через эту утилиту, выполнить ptrace на эту утилиту. В общем, уязвимость опасна только в том случае, если кто-то сперва модифицировал контейнер, добавив в него вредоносный код в программы, которые вы запускаете через exec, а потом дождался, когда вы выполните exec.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+16 +/–
Сообщение от Аноним (??) on 13-Янв-17, 12:33
Снова демоны вылазят из контейнеров...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	–1 +/–
	Сообщение от iZEN (ok) on 14-Янв-17, 16:54
	Как чертёнок из табакерки.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	–1 +/–
Сообщение от Ванга on 13-Янв-17, 14:25
Только новая архитектура позволит преодолеть слабую изоляцию приложений.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+3 +/–
	Сообщение от Пользователь Debian on 13-Янв-17, 14:50
	Шлите патчи в Hurd
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	–1 +/–
Сообщение от Celcion (ok) on 13-Янв-17, 16:06
"Выбраться из контейнера" - это зачет. Как представлю себе "уязвимость, выбирающуюся из контейнера" - так портится сон и аппетит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+/–
	Сообщение от Аноним (??) on 14-Янв-17, 10:36
	На твоём вантузе? Не смеши.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+3 +/–
Сообщение от Аноним (??) on 13-Янв-17, 16:06
Кто-то действительно использует Docker для изоляции потенциально опасных приложений? Он же не для того нужен. Повышение безопасности - побочный эффект и я бы не стал на него всерьёз рассчитывать в отношении зловредов. От запуска rm -rf / защитит и ладно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	–3 +/–
Сообщение от Michael Shigorin (ok) on 13-Янв-17, 17:33
http://www.opennet.me/openforum/vsluhforumID3/108659.html#131 PS: в смысле "дыркер".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	–4 +/–
Сообщение от Вы забыли заполнить поле Name on 14-Янв-17, 16:49
go? безопасность? Не, не слышал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."	+/–
Сообщение от Аноним (??) on 14-Янв-17, 18:50
Правда данная уязвимость не эксплуатируется на системах с настроенным selinux.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема