forum.opennet.ru - "Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера" (33)

"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"	+/–
Сообщение от opennews (??), 06-Мрт-22, 13:21
Раскрыты детали уязвимости (CVE-2022-0492) в реализации механизма ограничения ресурсов cgroups v1 в ядре Linux, которая может использоваться для выхода из изолированных контейнеров. Проблема проявляется начиная с ядра Linux 2.6.24 и устранена в выпусках ядра 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 и 4.9.301. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56812
Ответить \| Правка \| Cообщить модератору

Оглавление

Чем они думали, когда вносили столь масштабные усложнения в обработку пользовате, Аноним (1), 13:21 , 06-Мрт-22, (1) +6

О виртуализация на уровне операционной системы , Аноним (40), 09:07 , 07-Мрт-22, (40)

Cgroups и namespaces были ещё тогда , Аноним (2), 13:30 , 06-Мрт-22, (2)

Именно в этой версии cgroups и появились , Аноним (4), 13:37 , 06-Мрт-22, (4) +8

Но ведь мы же не скажем что это было сделано специально Это всё случайность, кт, Аноним (13), 16:06 , 06-Мрт-22, (13)

Именно так, сэр , Адмирал Майкл Роджерс (?), 19:20 , 06-Мрт-22, (27) +2
Халатность , псевдонимус (?), 20:09 , 06-Мрт-22, (29)
совершенно случайно дверь построили , Аноним (55), 01:18 , 14-Мрт-22, (55)

Кроме user namespaces , Аноним (6), 14:19 , 06-Мрт-22, (6)

До конца не понял, какие контейнеры кроме docker подвержены проблеме , Аноним (3), 13:32 , 06-Мрт-22, (3) –5

Любые под линуксом, которые используют cgroups Баг именно в этой фиче, а не в д, Аноним (5), 13:49 , 06-Мрт-22, (5) +13

А в чем ПРОБЛЕМА то Докер не песочница в полном её смысле, это средство доставки, Аноним (7), 14:41 , 06-Мрт-22, (7) +2

да как обычно злонамеренный доскер-контейнер из публичного репозитория забыл как, john_erohin (?), 14:49 , 06-Мрт-22, (8)

учитывая, что local root дыры в линях раз в полгода да находят, надо считать люб, лютый жабби__ (?), 18:21 , 06-Мрт-22, (26) +1

Проблемы есть только у физики и энергетики , Аноним (18), 17:05 , 06-Мрт-22, (18)

Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем , Ананоним (?), 19:48 , 06-Мрт-22, (28) +1

Проблема в cgroups А оно было создано как раз для изоляции , Аноним (19), 17:09 , 06-Мрт-22, (19) +2

версии 1 Сгроуп ггг,с ядра 4 5 версия Сгоуп уже 2,если верить Хабре MCBC только , Аноним (20), 17:21 , 06-Мрт-22, (20) –2

Libcgroup до сих пор поддерживает cgroups v2 еле-еле , lockywolf (ok), 10:56 , 07-Мрт-22, (42)

Это они потом, когда стало ясно, что оно скорее дыркер , переобулись https we, Аноним (21), 17:26 , 06-Мрт-22, (21) +1

DВы разве не знаете, что надежность это только надежда на нее В доке про Раст т, Аноним (20), 17:35 , 06-Мрт-22, (22) –1

То есть проблеме по сути подвержены только васянские сервачки, где настройка нач, Аноним (24), 17:59 , 06-Мрт-22, (24) –1

ну, дока там на поболее, чем 3 5 страницы, скажем честно Но насчет комикса - 10, Аноним (30), 20:18 , 06-Мрт-22, (30)

Ой, а можно мне ссыль на комикс-раскрасску Чисто из любопытства , Аноним (31), 20:30 , 06-Мрт-22, (31)

Друг попросил , fafafafap (?), 16:25 , 07-Мрт-22, (48)

Вот что значит - горе от ума , bOOster (ok), 10:23 , 07-Мрт-22, (41) –1

rOOster, Аноним (54), 02:55 , 09-Мрт-22, (54)

Привет А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых http www , Павел Отредиез (ok), 12:07 , 07-Мрт-22, (43)
Не выходи из контейнера, не совершай ошибку , lockywolf (ok), 12:29 , 07-Мрт-22, (44)
с 11 марта с контейнера невыйдет никто, Аноним (45), 14:45 , 07-Мрт-22, (45) +1

Почему , Аноним (40), 15:11 , 07-Мрт-22, (47)

А если пустить докер под докером из виртуалки то как оно будет , Аноним (46), 14:50 , 07-Мрт-22, (46)

А ещё лучше пустить докер на телефонке, которая лежит внутри системника Вот у, Аноним (55), 01:55 , 14-Мрт-22, (56)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Мрт-22, 13:21 +6 +/–

Чем они думали, когда вносили столь масштабные усложнения в обработку пользователей? Изначально же их предупреждали, что с user namespaces будут проблемы и теперь любая ошибка, проявляющаяся только при наличии прав root, стала общей дырой системы.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

2. Сообщение от Аноним (2), 06-Мрт-22, 13:30 +/–

> начиная с ядра Linux 2.6.24
Cgroups и namespaces были ещё тогда?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

3. Сообщение от Аноним (3), 06-Мрт-22, 13:32 –5 +/–

До конца не понял, какие контейнеры кроме docker подвержены проблеме.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (4), 06-Мрт-22, 13:37 +8 +/–

Именно в этой версии cgroups и появились.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

5. Сообщение от Аноним (5), 06-Мрт-22, 13:49 +13 +/–

Любые под линуксом, которые используют cgroups. Баг именно в этой фиче, а не в докере.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (6), 06-Мрт-22, 14:19 +/–

Кроме user namespaces.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 06-Мрт-22, 14:41 +2 +/–

А в чем ПРОБЛЕМА то?
Докер не песочница в полном её смысле, это средство доставки ПО на сервер или юзеру ак что-бы работало везде.
Только повод сделать всё тормознее и продать больше новых процов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #18, #19, #21

8. Сообщение от john_erohin (?), 06-Мрт-22, 14:49 +/–

> А в чем ПРОБЛЕМА то?
да как обычно.
злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #26

13. Сообщение от Аноним (13), 06-Мрт-22, 16:06 +/–

Но ведь мы же не скажем что это было сделано специально. Это всё случайность, кто бы мог подумать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #27, #29, #55

18. Сообщение от Аноним (18), 06-Мрт-22, 17:05 +/–

Проблемы есть только у физики и энергетики.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #28

19. Сообщение от Аноним (19), 06-Мрт-22, 17:09 +2 +/–

Проблема в cgroups. А оно было создано как раз для изоляции.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

20. Сообщение от Аноним (20), 06-Мрт-22, 17:21 –2 +/–

версии 1 Сгроуп ггг,с ядра 4.5 версия Сгоуп уже 2,если верить Хабре.MCBC только использует такое,да и то не факт,что там не патчено по самые помидоры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #42

21. Сообщение от Аноним (21), 06-Мрт-22, 17:26 +1 +/–

> А в чем ПРОБЛЕМА то?
> Докер не песочница в полном её смысле, это средство доставки ПО на
Это они потом, когда стало ясно, что оно скорее "дыркер", переобулись.
https://web.archive.org/web/20140718075034/https://docs.dock.../
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.
https://web.archive.org/web/20140718074754/https://www.docke.../
>>> How is this different from Virtual Machines?
>>> ... it enjoys the resource isolation and allocation benefits of VMs but is much more portable and efficient.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #22

22. Сообщение от Аноним (20), 06-Мрт-22, 17:35 –1 +/–

>>> At its core, Docker provides a way to run almost any application securely isolated in a container.
DВы разве не знаете, что надежность это только надежда на нее. В доке про Раст такое примерно даже написано.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (24), 06-Мрт-22, 17:59 –1 +/–

> Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux
То есть проблеме по сути подвержены только васянские сервачки, где настройка начинается с «setenforce 0», потому что васян не осилил ни доку на 3½ страницы, ни комикс-раскраску для деб^Wэникеев. Ок.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

26. Сообщение от лютый жабби__ (?), 06-Мрт-22, 18:21 +1 +/–

>злонамеренный доскер-контейнер из публичного репозитория забыл как его там.
учитывая, что local root дыры в линях раз в полгода да находят, надо считать любой софт злонамеренным, даже который без докера и без прав админа. Ну там постгрес какой-нибудь или постфикс или любое другое...
и изоляцию делать на уровне железа + фаервол (а не виртуалок и тем более мусорных контейнеров)
у какого-нибудь хетцнера или теперь уже селектела дедики на любой вкус, цвет и размер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

27. Сообщение от Адмирал Майкл Роджерс (?), 06-Мрт-22, 19:20 +2 +/–

> Это всё случайность
Именно так, сэр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

28. Сообщение от Ананоним (?), 06-Мрт-22, 19:48 +1 +/–

Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

29. Сообщение от псевдонимус (?), 06-Мрт-22, 20:09 +/–

Халатность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (30), 06-Мрт-22, 20:18 +/–

ну, дока там на поболее, чем 3.5 страницы, скажем честно. Но насчет комикса - 100%

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31

31. Сообщение от Аноним (31), 06-Мрт-22, 20:30 +/–

Ой, а можно мне ссыль на комикс-раскрасску? Чисто из любопытства.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #48

40. Сообщение от Аноним (40), 07-Мрт-22, 09:07 +/–

О виртуализация на уровне операционной системы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

41. Сообщение от bOOster (ok), 07-Мрт-22, 10:23 –1 +/–

Вот что значит - "горе от ума"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

42. Сообщение от lockywolf (ok), 07-Мрт-22, 10:56 +/–

Libcgroup до сих пор поддерживает cgroups v2 еле-еле.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

43. Сообщение от Павел Отредиез (ok), 07-Мрт-22, 12:07 +/–

Привет! А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых. http://www.tinyware.ru/documentation

Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от lockywolf (ok), 07-Мрт-22, 12:29 +/–

Не выходи из контейнера, не совершай ошибку.

Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Аноним (45), 07-Мрт-22, 14:45 +1 +/–

с 11 марта с контейнера невыйдет никто

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

46. Сообщение от Аноним (46), 07-Мрт-22, 14:50 +/–

А если пустить докер под докером из виртуалки то как оно будет?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

47. Сообщение от Аноним (40), 07-Мрт-22, 15:11 +/–

Почему?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от fafafafap (?), 07-Мрт-22, 16:25 +/–

Друг попросил?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

54. Сообщение от Аноним (54), 09-Мрт-22, 02:55 +/–

rOOster

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

55. Сообщение от Аноним (55), 14-Мрт-22, 01:18 +/–

совершенно случайно дверь построили...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

56. Сообщение от Аноним (55), 14-Мрт-22, 01:55 +/–

А ещё лучше пустить докер на телефонке, которая лежит внутри системника... Вот уж точно никто из телефонки не выберется!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 06-Мрт-22, 13:21	+6 +/–
Чем они думали, когда вносили столь масштабные усложнения в обработку пользователей? Изначально же их предупреждали, что с user namespaces будут проблемы и теперь любая ошибка, проявляющаяся только при наличии прав root, стала общей дырой системы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #40

2. Сообщение от Аноним (2), 06-Мрт-22, 13:30	+/–
> начиная с ядра Linux 2.6.24 Cgroups и namespaces были ещё тогда?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #6

3. Сообщение от Аноним (3), 06-Мрт-22, 13:32	–5 +/–
До конца не понял, какие контейнеры кроме docker подвержены проблеме.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (4), 06-Мрт-22, 13:37	+8 +/–
Именно в этой версии cgroups и появились.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #13

5. Сообщение от Аноним (5), 06-Мрт-22, 13:49	+13 +/–
Любые под линуксом, которые используют cgroups. Баг именно в этой фиче, а не в докере.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (6), 06-Мрт-22, 14:19	+/–
Кроме user namespaces.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 06-Мрт-22, 14:41	+2 +/–
А в чем ПРОБЛЕМА то? Докер не песочница в полном её смысле, это средство доставки ПО на сервер или юзеру ак что-бы работало везде. Только повод сделать всё тормознее и продать больше новых процов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #18, #19, #21

8. Сообщение от john_erohin (?), 06-Мрт-22, 14:49	+/–
> А в чем ПРОБЛЕМА то? да как обычно. злонамеренный доскер-контейнер из публичного репозитория забыл как его там.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #26

13. Сообщение от Аноним (13), 06-Мрт-22, 16:06	+/–
Но ведь мы же не скажем что это было сделано специально. Это всё случайность, кто бы мог подумать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #27, #29, #55

18. Сообщение от Аноним (18), 06-Мрт-22, 17:05	+/–
Проблемы есть только у физики и энергетики.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #28

19. Сообщение от Аноним (19), 06-Мрт-22, 17:09	+2 +/–
Проблема в cgroups. А оно было создано как раз для изоляции.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #20

20. Сообщение от Аноним (20), 06-Мрт-22, 17:21	–2 +/–
версии 1 Сгроуп ггг,с ядра 4.5 версия Сгоуп уже 2,если верить Хабре.MCBC только использует такое,да и то не факт,что там не патчено по самые помидоры.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #42

21. Сообщение от Аноним (21), 06-Мрт-22, 17:26	+1 +/–
> А в чем ПРОБЛЕМА то? > Докер не песочница в полном её смысле, это средство доставки ПО на Это они потом, когда стало ясно, что оно скорее "дыркер", переобулись. https://web.archive.org/web/20140718075034/https://docs.dock.../ >>> At its core, Docker provides a way to run almost any application securely isolated in a container. https://web.archive.org/web/20140718074754/https://www.docke.../ >>> How is this different from Virtual Machines? >>> ... it enjoys the resource isolation and allocation benefits of VMs but is much more portable and efficient.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #22

22. Сообщение от Аноним (20), 06-Мрт-22, 17:35	–1 +/–
>>> At its core, Docker provides a way to run almost any application securely isolated in a container. DВы разве не знаете, что надежность это только надежда на нее. В доке про Раст такое примерно даже написано.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (24), 06-Мрт-22, 17:59	–1 +/–
> Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux То есть проблеме по сути подвержены только васянские сервачки, где настройка начинается с «setenforce 0», потому что васян не осилил ни доку на 3½ страницы, ни комикс-раскраску для деб^Wэникеев. Ок.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #30

26. Сообщение от лютый жабби__ (?), 06-Мрт-22, 18:21	+1 +/–
>злонамеренный доскер-контейнер из публичного репозитория забыл как его там. учитывая, что local root дыры в линях раз в полгода да находят, надо считать любой софт злонамеренным, даже который без докера и без прав админа. Ну там постгрес какой-нибудь или постфикс или любое другое... и изоляцию делать на уровне железа + фаервол (а не виртуалок и тем более мусорных контейнеров) у какого-нибудь хетцнера или теперь уже селектела дедики на любой вкус, цвет и размер.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

27. Сообщение от Адмирал Майкл Роджерс (?), 06-Мрт-22, 19:20	+2 +/–
> Это всё случайность Именно так, сэр.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

28. Сообщение от Ананоним (?), 06-Мрт-22, 19:48	+1 +/–
Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

29. Сообщение от псевдонимус (?), 06-Мрт-22, 20:09	+/–
Халатность.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (30), 06-Мрт-22, 20:18	+/–
ну, дока там на поболее, чем 3.5 страницы, скажем честно. Но насчет комикса - 100%
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #31

31. Сообщение от Аноним (31), 06-Мрт-22, 20:30	+/–
Ой, а можно мне ссыль на комикс-раскрасску? Чисто из любопытства.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #48

40. Сообщение от Аноним (40), 07-Мрт-22, 09:07	+/–
О виртуализация на уровне операционной системы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

41. Сообщение от bOOster (ok), 07-Мрт-22, 10:23	–1 +/–
Вот что значит - "горе от ума"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #54

42. Сообщение от lockywolf (ok), 07-Мрт-22, 10:56	+/–
Libcgroup до сих пор поддерживает cgroups v2 еле-еле.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

43. Сообщение от Павел Отредиез (ok), 07-Мрт-22, 12:07	+/–
Привет! А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых. http://www.tinyware.ru/documentation
Ответить \| Правка \| Наверх \| Cообщить модератору

44. Сообщение от lockywolf (ok), 07-Мрт-22, 12:29	+/–
Не выходи из контейнера, не совершай ошибку.
Ответить \| Правка \| Наверх \| Cообщить модератору

45. Сообщение от Аноним (45), 07-Мрт-22, 14:45	+1 +/–
с 11 марта с контейнера невыйдет никто
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #47

46. Сообщение от Аноним (46), 07-Мрт-22, 14:50	+/–
А если пустить докер под докером из виртуалки то как оно будет?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #56

47. Сообщение от Аноним (40), 07-Мрт-22, 15:11	+/–
Почему?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #45

48. Сообщение от fafafafap (?), 07-Мрт-22, 16:25	+/–
Друг попросил?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31