URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 110154
[ Назад ]

Исходное сообщение
"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено opennews , 13-Янв-17 11:34

В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена (http://seclists.org/oss-sec/2017/q1/54) опасная уязвимость (https://bugzilla.redhat.com/show_bug.cgi?id=1409531) (CVE-2016-9962 (https://security-tracker.debian.org/tracker/CVE-2016-9962)), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой (https://github.com/opencontainers/runc/commit/50a19c6ff828c5...) в
runtime runC (http://runc.io/), который используется по умолчанию начиная с ветки Docker 1.11 (https://www.opennet.me/opennews/art.shtml?num=44246), и также применяется (https://coreos.com/blog/cve-2016-9962.html) в некоторых других системах
RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена (https://www.opennet.me/opennews/art.shtml?num=45573) в ноябре в инструментарии LXC.

URL: http://seclists.org/oss-sec/2017/q1/54
Новость: http://www.opennet.me/opennews/art.shtml?num=45848

Содержание

В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,hoopoe, 11:34 , 13-Янв-17
- В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,sage, 11:44 , 15-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Аноним, 12:33 , 13-Янв-17
- В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,iZEN, 16:54 , 14-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Ванга, 14:25 , 13-Янв-17
- В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Пользователь Debian, 14:50 , 13-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Celcion, 16:06 , 13-Янв-17
- В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Аноним, 10:36 , 14-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Аноним, 16:06 , 13-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Michael Shigorin, 17:33 , 13-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Вы забыли заполнить поле Name, 16:49 , 14-Янв-17
В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ...,Аноним, 18:50 , 14-Янв-17

Сообщения в этом обсуждении

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено hoopoe , 13-Янв-17 11:34

не очень понятно: user space библиотека управляет доступом из контейнера? а что помешает выполнить аналогичный код в другой библиотеке? или она работает вне контейнера?

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено sage , 15-Янв-17 11:44

Она работает вне контейнера, но дает возможность приложениям, выполняемым в контейнере, которые были запущены через эту утилиту, выполнить ptrace на эту утилиту.
В общем, уязвимость опасна только в том случае, если кто-то сперва модифицировал контейнер, добавив в него вредоносный код в программы, которые вы запускаете через exec, а потом дождался, когда вы выполните exec.

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Аноним , 13-Янв-17 12:33

Снова демоны вылазят из контейнеров...

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено iZEN , 14-Янв-17 16:54

Как чертёнок из табакерки.

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Ванга , 13-Янв-17 14:25

Только новая архитектура позволит преодолеть слабую изоляцию приложений.

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Пользователь Debian , 13-Янв-17 14:50

Шлите патчи в Hurd

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Celcion , 13-Янв-17 16:06

"Выбраться из контейнера" - это зачет. Как представлю себе "уязвимость, выбирающуюся из контейнера" - так портится сон и аппетит.

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Аноним , 14-Янв-17 10:36

На твоём вантузе? Не смеши.

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Аноним , 13-Янв-17 16:06

Кто-то действительно использует Docker для изоляции потенциально опасных приложений? Он же не для того нужен. Повышение безопасности - побочный эффект и я бы не стал на него всерьёз рассчитывать в отношении зловредов. От запуска rm -rf / защитит и ладно...

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Michael Shigorin , 13-Янв-17 17:33

http://www.opennet.me/openforum/vsluhforumID3/108659.html#131
PS: в смысле "дыркер".

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Вы забыли заполнить поле Name , 14-Янв-17 16:49

go? безопасность? Не, не слышал.

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Отправлено Аноним , 14-Янв-17 18:50

Правда данная уязвимость не эксплуатируется на системах с настроенным selinux.