forum.opennet.ru - "Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера" (47)

"Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера"	+/–
Сообщение от opennews (??), 20-Май-21, 22:31
В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид безобидную конфигурацию контейнера, которая приведёт к bind-монтированию внешней ФС внутри контейнера. Проблема устранена в обновлении runc 1.0.0-rc95... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55180
Ответить \| Правка \| Cообщить модератору

Оглавление

Я думал, GO защищён от таких ошибок, иначе чем он лучше PHP , Аноним (1), 22:31 , 20-Май-21, (1) +14

всё сорта одного, Леголас (ok), 11:47 , 21-Май-21, (36) +1

Вот если бы писали на безопасном Си, а не на этой смузихлебной поделки то уязвим, Аноним (2), 22:33 , 20-Май-21, (2) +7

Ты вероятно прав кстати, проблема достаточно классическая с точки зрения разрабо, Аноним (1), 22:36 , 20-Май-21, (4) +5
Да Си тоже не не выход, просто така тенденция у программистов иметь кривожопые р, СССР (?), 01:54 , 21-Май-21, (17) +1

К сожалению, вы правы Я на работе вижу эту криоврукость каждый день Но тут нав, richman1000000 (ok), 07:51 , 21-Май-21, (23) –1

лень учиться делать правильно , заминированный тапок (ok), 11:01 , 21-Май-21, (34)

Не всегда, есть еще вариант, много где к тому же - надо на вчера c , Аноним (46), 17:38 , 25-Май-21, (46)

https i imgur com HTXZNei png, заминированный тапок (ok), 20:49 , 25-Май-21, (47)

Не Тут тенденция удешевления найма работников умственного труда , Жироватт (ok), 14:23 , 21-Май-21, (40)

Конечно, ведь нет поделки - нет уязвимости К 2022 дописали бы , виндотролль (ok), 07:57 , 21-Май-21, (25)

Выходит прав был сой коллега, что докер пишут , Аноним (3), 22:35 , 20-Май-21, (3) +2

Добро пожаловать в реальный мир, Нео , Аноним (5), 22:41 , 20-Май-21, (5) +5
Я бы даже взял шире, в основном только такие и пишут на го Да и сам го в основн, виндотролль (ok), 08:02 , 21-Май-21, (26) –4

Слишком толсто, Аноним (35), 11:45 , 21-Май-21, (35) +1

если ты о гошном рантайме, то да, виндотролль (ok), 14:33 , 21-Май-21, (41) –2

Его уже написали Он в прошлом , А (??), 21:03 , 21-Май-21, (42)

Я чета не проникся идеей докерства - ну вот вроде установил его завел контейнеры, Аноним (-), 23:18 , 20-Май-21, (7) +5

Неасилил указать тег , Аноним (8), 23:22 , 20-Май-21, (8) –2

Ну вот например какой командой мне посмотреть доступные к загрузке pull версии, Аноним (-), 10:40 , 21-Май-21, (31)

Ты просто не осилил, на самом деле это супе удобно , Admenestrator (?), 23:23 , 20-Май-21, (9) –1
Главное преимущество докера в поставке готовых образов на прод, а не для разрабо, Нек (?), 23:30 , 20-Май-21, (10) –3
вот и я, зачеал на ютубе несколько видосов где в подробностях обясняют для чего , СССР (?), 02:03 , 21-Май-21, (18)

Да Дичь, нужная для определенных случаев, но не для каждой бочки затычка, как е, abu (?), 03:26 , 21-Май-21, (20) +3

Докер хорош в одном, он удобен в CI CD Что бы у тебя всегда была чистая виртуал, hefenud (ok), 07:35 , 21-Май-21, (22)

увы и ах Пользуюсь докером в продакшине и считаю что пихать его всюду и визде - , richman1000000 (ok), 07:55 , 21-Май-21, (24) +1

Стандартный кейс - установка устаревшего ПО, либо самого нового, либо Самый хо, Аноним (32), 10:53 , 21-Май-21, (32) +1

Внезапно, чтобы была виртуалка - вполне достаточно использовать - виртуалку Что, нах.. (?), 09:33 , 21-Май-21, (30) +8

Лучше и не скажешь, наверное Яростно плюсую , Онаним (?), 10:01 , 22-Май-21, (45) +2

Ну, если у тебя половина разработчика - то да, можно и без докера Но когда у те, Аноним (32), 11:00 , 21-Май-21, (33)
Оно предназначено для другого и попытка использовать вместо ВМ не к месту Оно дл, А (??), 21:06 , 21-Май-21, (43)

Где то плачет одинокий Rust с сишными дыренями, Аноним (11), 00:18 , 21-Май-21, (11) +2
Мне, как разработчику, было бы стыдно собирать 95-й релиз кандидат А им как будт, Rev (?), 00:18 , 21-Май-21, (12) +4

Если у них релиз на каждый комит и весь прусе давно автоматизирован, то никто да, Anonymousqwe (?), 01:06 , 21-Май-21, (14)

процесс, Anonymousqwe (?), 01:07 , 21-Май-21, (15)

Не понял, уже тринадцатый комментарий, а где шутка про то, что буква S в имени D, Аноним (13), 01:02 , 21-Май-21, (13) +4

ну вон в k8s есть нужная тебе буква без него или какой другой автоматики экспло, нах.. (?), 01:17 , 21-Май-21, (16)

Сколько уязвимостей за год выявили в изолированных от здравого смысла контейнера, псевдонимус (?), 02:50 , 21-Май-21, (19)

докер тоже хочет свободы, Аноним (29), 08:30 , 21-Май-21, (29)

и не переполнение и не указатели но сисичники радуются а чё радуются - на си, миша_шигорин_и_его_любезный_друг_эм_си (?), 04:45 , 21-Май-21, (21) –2

Ну, на переполнение https nvd nist gov vuln detail CVE-2020-25574На указате, bi brother (?), 08:13 , 21-Май-21, (27) –1

Хех Так и знал, Сейчас зайду и местные старожилы будут ругать, го, доккер, кубе, Аноним (28), 08:22 , 21-Май-21, (28) –3

Нужны, проект suckless или gnu parallel, например, да хотя бы та система разверт, Мяус (?), 13:02 , 21-Май-21, (37) +2

Да, CBSD таки рулит , Мертвец (?), 14:13 , 21-Май-21, (39)

Конечно, технология, в которой контейнер прибивается после того, как запущенный , YetAnotherOnanym (ok), 13:10 , 21-Май-21, (38)

Docker и KubernetesЭтим всё сказано, Аноним (48), 20:58 , 26-Май-21, (48)
Хаааааааааааааещё один убийцы C C - goБугага, Аноним (48), 20:59 , 26-Май-21, (49)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +14 +/–

Сообщение от Аноним (1), 20-Май-21, 22:31

Я думал, GO защищён от таких ошибок, иначе чем он лучше PHP?

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +1 +/–

Сообщение от Леголас (ok), 21-Май-21, 11:47

всё сорта одного

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +7 +/–

Сообщение от Аноним (2), 20-Май-21, 22:33

Вот если бы писали на безопасном Си, а не на этой смузихлебной поделки то уязвимостей бы небыло

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +5 +/–

Сообщение от Аноним (1), 20-Май-21, 22:36

Ты вероятно прав кстати, проблема достаточно классическая с точки зрения разработки на си.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +1 +/–

Сообщение от СССР (?), 21-Май-21, 01:54

Да Си тоже не не выход, просто така тенденция у программистов иметь кривожопые руки. все проще все хайпово должно быть у современников.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

23. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –1 +/–

Сообщение от richman1000000 (ok), 21-Май-21, 07:51

К сожалению, вы правы.
Я на работе вижу эту криоврукость каждый день...
Но тут наверно не криворукость, а лень больше играет

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от заминированный тапок (ok), 21-Май-21, 11:01

лень учиться делать правильно ?

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Аноним (46), 25-Май-21, 17:38

>лень учиться делать правильно ?
Не всегда, есть еще вариант, много где к тому же - "надо на вчера" (c)

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от заминированный тапок (ok), 25-Май-21, 20:49

>>лень учиться делать правильно ?
> Не всегда, есть еще вариант, много где к тому же - "надо
> на вчера" (c)
https://i.imgur.com/HTXZNei.png

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Жироватт (ok), 21-Май-21, 14:23

Не. Тут тенденция удешевления найма работников умственного труда.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

25. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от виндотролль (ok), 21-Май-21, 07:57

Конечно, ведь нет поделки - нет уязвимости. К 2022 дописали бы.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +2 +/–

Сообщение от Аноним (3), 20-Май-21, 22:35

Выходит прав был сой коллега, что докер пишут !@$$%&.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +5 +/–

Сообщение от Аноним (5), 20-Май-21, 22:41

Добро пожаловать в реальный мир, Нео.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –4 +/–

Сообщение от виндотролль (ok), 21-Май-21, 08:02

Я бы даже взял шире, в основном только такие и пишут на го. Да и сам го в основном такие пишут.
Потому очень мало толковых проектов на этом языке.
Но зато вот таких разработчиков больше, чем толковых, потому всегда найдутся писатели кода, и потому оно все быстрее разрабатывается.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

35. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +1 +/–

Сообщение от Аноним (35), 21-Май-21, 11:45

Слишком толсто

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –2 +/–

Сообщение от виндотролль (ok), 21-Май-21, 14:33

> Слишком толсто
если ты о гошном рантайме, то да

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от А (??), 21-Май-21, 21:03

Его уже написали... Он в прошлом.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +5 +/–

Сообщение от Аноним (-), 20-Май-21, 23:18

Я чета не проникся идеей докерства - ну вот вроде установил его завел контейнеры для разработки php mysql apache, вроде работает, но зачем мне это? К тому же там какойто цирк с отображением/поиском/управлением версиями образов.
Вернулся к нативно установленным пакетам.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –2 +/–

Сообщение от Аноним (8), 20-Май-21, 23:22

Неасилил указать тег?

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Аноним (-), 21-Май-21, 10:40

Ну вот например какой командой мне посмотреть доступные к загрузке (pull) версии php?
Я делаю docker search php мне выводится список без версий.
Далее делаю docker images --all
и он мне пишет
php 7.4.7 b73215b5e2cc 11 months ago
php latest b73215b5e2cc 11 months ago
Зачем он мне врёт что php 7.4.7 это latet?

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –1 +/–

Сообщение от Admenestrator (?), 20-Май-21, 23:23

Ты просто не осилил, на самом деле это супе удобно.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –3 +/–

Сообщение от Нек (?), 20-Май-21, 23:30

Главное преимущество докера в поставке готовых образов на прод, а не для разработки

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

18. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от СССР (?), 21-Май-21, 02:03

вот и я, зачеал на ютубе несколько видосов где в подробностях обясняют для чего и как готовится, попробовал, запустил, потыкал попользовался, и думаю, а к чему этот докер. в чем сложность написать скриты установки на том же питоне. так же можно создать виртуалку на kvm и там так же все теми же скриптами. а можно и саму виртуалку создавать автоматически и туда заливать все что нужно.
Ну прям вот кейс, мне нужно быстро установить постгрес, QT ну и библиотеку libssh. вот предположем что руками если делать то я прям устану устану, а докером вот просто щелкну палцем и вуаля, и я такой счастливый. И вопрос , а как часто тебе необходимы разлиные конфигурации?
все это похоже на очередную модную дичь.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +3 +/–

Сообщение от abu (?), 21-Май-21, 03:26

Да. Дичь, нужная для определенных случаев, но не для каждой бочки затычка, как ее пытаются который год подавать.
Щелкать пальцами, применяя докер, можно при условии, если сценарии сборок писали вменяемые люди в нормальных проектах. Но такое бывает далеко не всегда либо - писатели-то вменяемые, но всего не предусмотришь. Либо - написали, а через год свалили. И тогда все равно приходится лезть и править самому. А раз приходится править, а чаще - с нуля писать эту всю басню, то сразу куда-то пропадает легкость бытия и щелкание, а появляется мысль - =а к чему этот докер. в чем сложность написать скрипты установки на том же питоне=.
Отдельное щелкание пальцами - администрирование всего этого богатства бахромы. А ведь еще есть и Docker in Docker (:

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от hefenud (ok), 21-Май-21, 07:35

Докер хорош в одном, он удобен в CI/CD. Что бы у тебя всегда была чистая виртуалка в которую берем все свежие зависимости для сборки и там собираем, а потом образ дропаем
Так ты получаешь всегда сборку сделанную в чистой среде и со всеми обновлениями безопасности
Вот для этого чертовски удобно

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

24. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +1 +/–

Сообщение от richman1000000 (ok), 21-Май-21, 07:55

увы и ах.
Пользуюсь докером в продакшине и считаю что пихать его всюду и визде - дибилизм.
Его нужно применять по назначению.
докер в CI/CD - для разработки, пожалуйста.
А вот в продакш будьте добры - на обычную виртуалку ставить.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +1 +/–

Сообщение от Аноним (32), 21-Май-21, 10:53

Стандартный кейс - установка устаревшего ПО, либо самого нового, либо . Самый хороший пример - java приложения. Когда-то была отличная репа "ppa:webupd8team/java", но она приказала долго жить. Потому что оракл снова ввел ограничения. А докер - отличное решение для развертывания в таких случаях.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +8 +/–

Сообщение от нах.. (?), 21-Май-21, 09:33

Внезапно, чтобы была виртуалка - вполне достаточно использовать - виртуалку. Чтобы она была чистой - использовать golden images и снапшоты с автоочисткой.
Что мы и делали за десять лет до появления ненужно-доскеров.
И (будь та лавка до сих пор жива) делали бы посейчас, поскольку если для тестирования тебе нужно проверять что система доступна в том числе с виндовых клиентов - никакой доскер тут не поможет.
Единственное, для чего необходим доскер - для подметания мусора за современными разработчиками и средствами разработки, тащащими все в хомяк прямо с гитхапа и гитляпа, без разбора, версия "всегда последняя".
Он позволяет все это аккуратно соскрести с диска разработчика, и водрузить на прод ровно в таком виде, в каком этот альтернативно-одаренный кое-как добился что оно "запускается". Ни о какой воспроизводимости сборки речь при этом не идет - оно каждые пять секунд новое. Образ позволяет откатиться на не настолько новое, которое еще не было поломано. И это, повторяю, единственная его ценность.
Все остальное обеспечивает виртуализация, средства изоляции системы и пакетные менеджеры, особо неосиленные разработчиками модных-современных поделок (в принципе, я их понимаю, ни винда, ни бубунточка которые они так обожают, иногда обе сразу - не позволяют научиться делать это нормально с небольшими трудозатратами)

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

45. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +2 +/–

Сообщение от Онаним (?), 22-Май-21, 10:01

Лучше и не скажешь, наверное.
Яростно плюсую.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Аноним (32), 21-Май-21, 11:00

> Я чета не проникся идеей докерства - ну вот вроде установил
> его завел контейнеры для разработки php mysql apache, вроде
> работает, но зачем мне это?
Ну, если у тебя половина разработчика - то да, можно и без докера. Но когда у тебя их человек 5 минимум, постоянно выкатывающих ревью, ты будешь через ансиблу костылить?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

43. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от А (??), 21-Май-21, 21:06

Оно предназначено для другого и попытка использовать вместо ВМ не к месту.
Оно для одноразовых коротких процессов, где нужно дропать изменения в системе на выходе. Часто и много.
Цирка с версионированием нет. Это делается в др. месте др. тулами.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +2 +/–

Сообщение от Аноним (11), 21-Май-21, 00:18

Где то плачет одинокий Rust с сишными дыренями

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +4 +/–

Сообщение от Rev (?), 21-Май-21, 00:18

Мне, как разработчику, было бы стыдно собирать 95-й релиз кандидат.
А им как будто нормально :(

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Anonymousqwe (?), 21-Май-21, 01:06

Если у них релиз на каждый комит и весь прусе давно автоматизирован, то никто даже не думает собирать релиз, или нет.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Anonymousqwe (?), 21-Май-21, 01:07

*процесс

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +4 +/–

Сообщение от Аноним (13), 21-Май-21, 01:02

Не понял, уже тринадцатый комментарий, а где шутка про то, что буква S в имени Docker значит Security?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от нах.. (?), 21-Май-21, 01:17

ну вон в k8s есть нужная тебе буква (без него или какой другой автоматики эксплойт невозможен или бессмысленнен) - и что, легче тебе стало?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от псевдонимус (?), 21-Май-21, 02:50

Сколько уязвимостей за год выявили в изолированных от здравого смысла контейнерах?
Дефективно изначально.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Аноним (29), 21-Май-21, 08:30

докер тоже хочет свободы

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –2 +/–

Сообщение от миша_шигорин_и_его_любезный_друг_эм_си (?), 21-Май-21, 04:45

и не переполнение и не указатели. но сисичники радуются.. а чё радуются? - на сисях нельзя проблемы с симлинками огрести? а может всё дело в сисисной реализации kvm в лялихе? - глядишь, еслибы лялих делали на нормальном языке и думали о безопасности, а не об указателях и памяти, то и небыло бы этих проблем. так что, однозначно всё нужно перепейсывать на D

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –1 +/–

Сообщение от bi brother (?), 21-Май-21, 08:13

Ну, на "переполнение":
https://nvd.nist.gov/vuln/detail/CVE-2020-25574
На "указатели":
https://nvd.nist.gov/vuln/detail/CVE-2021-25903
Полегчало? :-D

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." –3 +/–

Сообщение от Аноним (28), 21-Май-21, 08:22

Хех. Так и знал, Сейчас зайду и местные старожилы будут ругать, го, доккер, кубер, да и вообще все, что новее 2015 года. Новые технологии не нужны)

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +2 +/–

Сообщение от Мяус (?), 21-Май-21, 13:02

Нужны, проект suckless или gnu parallel, например, да хотя бы та система развертывания для bsd. А вот то, у чего нет манов, и на странице чего красуется кнопочка pricing, к которой из каждого утюга манят - не нужно.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Мертвец (?), 21-Май-21, 14:13

>да хотя бы та система развертывания для bsd
Да, CBSD таки рулит!

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от YetAnotherOnanym (ok), 21-Май-21, 13:10

Конечно, технология, в которой контейнер прибивается после того, как запущенный в нём серверный процесс демонизируется - это очень нужная штука, ага.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Аноним (48), 26-Май-21, 20:58

Docker и Kubernetes
Этим всё сказано

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..." +/–

Сообщение от Аноним (48), 26-Май-21, 20:59

Хааааааааааааа
ещё один убийцы C/C++ - go
Бугага

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+14 +/–
Сообщение от Аноним (1), 20-Май-21, 22:31
Я думал, GO защищён от таких ошибок, иначе чем он лучше PHP?
Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+1 +/–
	Сообщение от Леголас (ok), 21-Май-21, 11:47
	всё сорта одного
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+7 +/–
Сообщение от Аноним (2), 20-Май-21, 22:33
Вот если бы писали на безопасном Си, а не на этой смузихлебной поделки то уязвимостей бы небыло
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+5 +/–
	Сообщение от Аноним (1), 20-Май-21, 22:36
	Ты вероятно прав кстати, проблема достаточно классическая с точки зрения разработки на си.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+1 +/–
	Сообщение от СССР (?), 21-Май-21, 01:54
	Да Си тоже не не выход, просто така тенденция у программистов иметь кривожопые руки. все проще все хайпово должно быть у современников.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	23. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	–1 +/–
	Сообщение от richman1000000 (ok), 21-Май-21, 07:51
	К сожалению, вы правы. Я на работе вижу эту криоврукость каждый день... Но тут наверно не криворукость, а лень больше играет
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от заминированный тапок (ok), 21-Май-21, 11:01
	лень учиться делать правильно ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от Аноним (46), 25-Май-21, 17:38
	>лень учиться делать правильно ? Не всегда, есть еще вариант, много где к тому же - "надо на вчера" (c)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от заминированный тапок (ok), 25-Май-21, 20:49
	>>лень учиться делать правильно ? > Не всегда, есть еще вариант, много где к тому же - "надо > на вчера" (c) https://i.imgur.com/HTXZNei.png
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от Жироватт (ok), 21-Май-21, 14:23
	Не. Тут тенденция удешевления найма работников умственного труда.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	25. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от виндотролль (ok), 21-Май-21, 07:57
	Конечно, ведь нет поделки - нет уязвимости. К 2022 дописали бы.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+2 +/–
Сообщение от Аноним (3), 20-Май-21, 22:35
Выходит прав был сой коллега, что докер пишут !@$$%&.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+5 +/–
	Сообщение от Аноним (5), 20-Май-21, 22:41
	Добро пожаловать в реальный мир, Нео.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	–4 +/–
	Сообщение от виндотролль (ok), 21-Май-21, 08:02
	Я бы даже взял шире, в основном только такие и пишут на го. Да и сам го в основном такие пишут. Потому очень мало толковых проектов на этом языке. Но зато вот таких разработчиков больше, чем толковых, потому всегда найдутся писатели кода, и потому оно все быстрее разрабатывается.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	35. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+1 +/–
	Сообщение от Аноним (35), 21-Май-21, 11:45
	Слишком толсто
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	–2 +/–
	Сообщение от виндотролль (ok), 21-Май-21, 14:33
	> Слишком толсто если ты о гошном рантайме, то да
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от А (??), 21-Май-21, 21:03
	Его уже написали... Он в прошлом.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

7. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+5 +/–
Сообщение от Аноним (-), 20-Май-21, 23:18
Я чета не проникся идеей докерства - ну вот вроде установил его завел контейнеры для разработки php mysql apache, вроде работает, но зачем мне это? К тому же там какойто цирк с отображением/поиском/управлением версиями образов. Вернулся к нативно установленным пакетам.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	–2 +/–
	Сообщение от Аноним (8), 20-Май-21, 23:22
	Неасилил указать тег?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от Аноним (-), 21-Май-21, 10:40
	Ну вот например какой командой мне посмотреть доступные к загрузке (pull) версии php? Я делаю docker search php мне выводится список без версий. Далее делаю docker images --all и он мне пишет php 7.4.7 b73215b5e2cc 11 months ago php latest b73215b5e2cc 11 months ago Зачем он мне врёт что php 7.4.7 это latet?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	–1 +/–
	Сообщение от Admenestrator (?), 20-Май-21, 23:23
	Ты просто не осилил, на самом деле это супе удобно.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	10. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	–3 +/–
	Сообщение от Нек (?), 20-Май-21, 23:30
	Главное преимущество докера в поставке готовых образов на прод, а не для разработки
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	18. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от СССР (?), 21-Май-21, 02:03
	вот и я, зачеал на ютубе несколько видосов где в подробностях обясняют для чего и как готовится, попробовал, запустил, потыкал попользовался, и думаю, а к чему этот докер. в чем сложность написать скриты установки на том же питоне. так же можно создать виртуалку на kvm и там так же все теми же скриптами. а можно и саму виртуалку создавать автоматически и туда заливать все что нужно. Ну прям вот кейс, мне нужно быстро установить постгрес, QT ну и библиотеку libssh. вот предположем что руками если делать то я прям устану устану, а докером вот просто щелкну палцем и вуаля, и я такой счастливый. И вопрос , а как часто тебе необходимы разлиные конфигурации? все это похоже на очередную модную дичь.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	20. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+3 +/–
	Сообщение от abu (?), 21-Май-21, 03:26
	Да. Дичь, нужная для определенных случаев, но не для каждой бочки затычка, как ее пытаются который год подавать. Щелкать пальцами, применяя докер, можно при условии, если сценарии сборок писали вменяемые люди в нормальных проектах. Но такое бывает далеко не всегда либо - писатели-то вменяемые, но всего не предусмотришь. Либо - написали, а через год свалили. И тогда все равно приходится лезть и править самому. А раз приходится править, а чаще - с нуля писать эту всю басню, то сразу куда-то пропадает легкость бытия и щелкание, а появляется мысль - =а к чему этот докер. в чем сложность написать скрипты установки на том же питоне=. Отдельное щелкание пальцами - администрирование всего этого богатства бахромы. А ведь еще есть и Docker in Docker (:
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от hefenud (ok), 21-Май-21, 07:35
	Докер хорош в одном, он удобен в CI/CD. Что бы у тебя всегда была чистая виртуалка в которую берем все свежие зависимости для сборки и там собираем, а потом образ дропаем Так ты получаешь всегда сборку сделанную в чистой среде и со всеми обновлениями безопасности Вот для этого чертовски удобно
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	24. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+1 +/–
	Сообщение от richman1000000 (ok), 21-Май-21, 07:55
	увы и ах. Пользуюсь докером в продакшине и считаю что пихать его всюду и визде - дибилизм. Его нужно применять по назначению. докер в CI/CD - для разработки, пожалуйста. А вот в продакш будьте добры - на обычную виртуалку ставить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+1 +/–
	Сообщение от Аноним (32), 21-Май-21, 10:53
	Стандартный кейс - установка устаревшего ПО, либо самого нового, либо . Самый хороший пример - java приложения. Когда-то была отличная репа "ppa:webupd8team/java", но она приказала долго жить. Потому что оракл снова ввел ограничения. А докер - отличное решение для развертывания в таких случаях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+8 +/–
	Сообщение от нах.. (?), 21-Май-21, 09:33
	Внезапно, чтобы была виртуалка - вполне достаточно использовать - виртуалку. Чтобы она была чистой - использовать golden images и снапшоты с автоочисткой. Что мы и делали за десять лет до появления ненужно-доскеров. И (будь та лавка до сих пор жива) делали бы посейчас, поскольку если для тестирования тебе нужно проверять что система доступна в том числе с виндовых клиентов - никакой доскер тут не поможет. Единственное, для чего необходим доскер - для подметания мусора за современными разработчиками и средствами разработки, тащащими все в хомяк прямо с гитхапа и гитляпа, без разбора, версия "всегда последняя". Он позволяет все это аккуратно соскрести с диска разработчика, и водрузить на прод ровно в таком виде, в каком этот альтернативно-одаренный кое-как добился что оно "запускается". Ни о какой воспроизводимости сборки речь при этом не идет - оно каждые пять секунд новое. Образ позволяет откатиться на не настолько новое, которое еще не было поломано. И это, повторяю, единственная его ценность. Все остальное обеспечивает виртуализация, средства изоляции системы и пакетные менеджеры, особо неосиленные разработчиками модных-современных поделок (в принципе, я их понимаю, ни винда, ни бубунточка которые они так обожают, иногда обе сразу - не позволяют научиться делать это нормально с небольшими трудозатратами)
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	45. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+2 +/–
	Сообщение от Онаним (?), 22-Май-21, 10:01
	Лучше и не скажешь, наверное. Яростно плюсую.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."	+/–
	Сообщение от Аноним (32), 21-Май-21, 11:00
	> Я чета не проникся идеей докерства - ну вот вроде установил > его завел контейнеры для разработки php mysql apache, вроде > работает, но зачем мне это? Ну, если у тебя половина разработчика - то да, можно и без докера. Но когда у тебя их человек 5 минимум, постоянно выкатывающих ревью, ты будешь через ансиблу костылить?
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору