The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера

13.01.2017 11:28

В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена опасная уязвимость (CVE-2016-9962), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой в runtime runC, который используется по умолчанию начиная с ветки Docker 1.11, и также применяется в некоторых других системах

RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена в ноябре в инструментарии LXC.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Выпуск rkt 1.3, конкурирующего с Docker инструментария управления контейнерами
  3. OpenNews: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера
  4. OpenNews: Треть образов контейнеров в Docker Hub содержит опасные уязвимости
  5. OpenNews: Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red Hat и VMware поддержали App Container
  6. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.6
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45848-docker
Ключевые слова: docker, runc
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, hoopoe (ok), 11:34, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    не очень понятно: user space библиотека управляет доступом из контейнера? а что помешает выполнить аналогичный код в другой библиотеке? или она работает вне контейнера?
     
     
  • 2.15, sage (??), 11:44, 15/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Она работает вне контейнера, но дает возможность приложениям, выполняемым в контейнере, которые были запущены через эту утилиту, выполнить ptrace на эту утилиту.
    В общем, уязвимость опасна только в том случае, если кто-то сперва модифицировал контейнер, добавив в него вредоносный код в программы, которые вы запускаете через exec, а потом дождался, когда вы выполните exec.
     

  • 1.4, Аноним (-), 12:33, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Снова демоны вылазят из контейнеров...
     
     
  • 2.13, iZEN (ok), 16:54, 14/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как чертёнок из табакерки.
     

  • 1.5, Ванга (?), 14:25, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Только новая архитектура позволит преодолеть слабую изоляцию приложений.
     
     
  • 2.6, Пользователь Debian (?), 14:50, 13/01/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Шлите патчи в Hurd
     

  • 1.7, Celcion (ok), 16:06, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Выбраться из контейнера" - это зачет. Как представлю себе "уязвимость, выбирающуюся из контейнера" - так портится сон и аппетит.
     
     
  • 2.11, Аноним (-), 10:36, 14/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На твоём вантузе? Не смеши.
     

  • 1.8, Аноним (-), 16:06, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Кто-то действительно использует Docker для изоляции потенциально опасных приложений? Он же не для того нужен. Повышение безопасности - побочный эффект и я бы не стал на него всерьёз рассчитывать в отношении зловредов. От запуска rm -rf / защитит и ладно...
     
  • 1.10, Michael Shigorin (ok), 17:33, 13/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    http://www.opennet.me/openforum/vsluhforumID3/108659.html#131

    PS: в смысле "дыркер".

     
  • 1.12, Вы забыли заполнить поле Name (?), 16:49, 14/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    go? безопасность? Не, не слышал.
     
  • 1.14, Аноним (-), 18:50, 14/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Правда данная уязвимость не эксплуатируется на системах с настроенным selinux.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру