OpenForum RSS: Уязвимость в Docker, связанная с предоставление доступа к /p... https://www.opennet.ru/openforum/vsluhforumID3/115082.html Раскрыты (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10892) сведения об уязвимости (https://github.com/moby/moby/pull/37404) (CVE-2018-10892 (https://security-tracker.debian.org/tracker/CVE-2018-10892)) в инструментарии управления контейнерами Docker. Проблема вызвана тем, что Docker не фильтрует из отображаемого внутри контейнеров пространства /proc подкаталог /proc/acpi, что позволяет из контейнера изменять режимы работы оборудования, например, включать и выключать Bluetooth (echo "enable" &gt;/proc/acpi/ibm/bluetooth), активировать подсветку клавиатуры (echo 2 &gt;/proc/acpi/ibm/kbdlight) и т.п. Дистрибутивы с appArmor (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-10892) и SELinux (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10892), включенном в режиме "enforcing", эффективно блокируют данную проблему.<br><br><br><br>URL: https://access.redhat.com/errata/RHSA-2018:2482<br>Новость: https://www.opennet.ru/opennews/art.shtml?num=49157<br> Уязвимость в Docker, связанная с предоставление доступа к /p... (topin89) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#137 Thu, 23 Aug 2018 18:30:19 GMT Вопрос риторический, конечно, но я всё равно отвечу:<br>1. Херовое продвижение. Пример: BeOS. Отличная во всех отношениях операционка, но её пытались продавать дуалбутом с Виндой, причём Винда загружалась по-умолчанию. Куча людей тупо никогда её не видела<br>2. Именитые конкуренты. Pebble: часы были неплохими, но за брендами вроде Apple или Samsung им было не угнаться<br>3. Легальные проблемы. (Free&#124;Net&#124;Open)BSD: Операционки были и остаются нормальными, но из-за исков AT&T по Unix в целом многие начали развивать Linux, чтобы избежать легальных проблем. Это не помогло, но когда на Linux начались нападки юристов, большинство верили, что шансов выиграть больше, чем у FreeBSD.<br>4. Наследие прошлого. Windows: сейчас это пристойная операционка, глюки которой довольно редки и начинается процесс интеграции POSIX-плюшек (например, уже есть аналог UNIX-сокетов). Но вспоминать её как эталон глючности будут ещё долго.<br>5. Субъективность оценки. systemd: какие бы не были у него достоинства, её будут считать отстоем по Уязвимость в Docker, связанная с предоставление доступа к /p... (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#136 Thu, 23 Aug 2018 09:22:27 GMT &gt; И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также kvm и xen?<br><br>Конечно сталкивался, просто в докере это на порядок удобнее. Я вот посмотрел бы, сколько у вас ушло времени на поднятие elk стека в chroot/jail/openvz. А в докере это одна команда и минута времени. И таких примеров очень много. При этом я не утверждаю, что docker это панацея и всем срочно надо на него переходить. Но во многих моментах разработки - он очень здорово облегчает жизнь.<br><br>Так и представляю ситуацию - выходит к вам новый qa/developer/devops, ему надо поднять у себя на машине тестовое окружения, чтобы понять что и как, или что то проверить. А вы ему такие - ставь себе openvz/kvm/xen, потом ставь и настраивай 100500 программ, в лучшем случае будет bash скрипт для сборки всего этого добра. Ведь тут некоторые кричали, что ansible это новомодная хипстерская подделка девопсов и не нужна от слова совсем, так что только хардкор, только bash скрипты.<br><br>В моем случае, я даю человеку docker-compose файл и через 5- Уязвимость в Docker, связанная с предоставление доступа к /p... (лютый охохоня) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#135 Thu, 23 Aug 2018 04:24:53 GMT Кем признан провальным? Экспертами опеннета? Я так тоже могу наплести что у сбера от оракле только железо и легаси, а процессинг в жабе. И доказывал что не верблюд ,)<br> Уязвимость в Docker, связанная с предоставление доступа к /p... (angra) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#134 Wed, 22 Aug 2018 20:45:21 GMT &gt; Я вот проработал 10 лет сисадмином, последние 3 года работаю девопс.<br><br>И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также kvm и xen? Только с появлением docker смог решить задачу запуска в изолированном окружении? <br> Уязвимость в Docker, связанная с предоставление доступа к /p... (Alex_hha) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#133 Wed, 22 Aug 2018 10:52:41 GMT &gt; За исключением того что у них (девопсов этих ваших) как правило нет <br>&gt; для этого ни знаний, ни умений.<br><br>с какого перепуга? Я вот проработал 10 лет сисадмином, последние 3 года работаю девопс. Никаких проблем не испытываю. Возвращаться к скучной работе сисдамина нет никакого желания :)<br><br>P.S.<br>вы ведь понимаете, что devops это лишь методология разработки и доставки продукта, а не какая то новая чудо специальность? Но тут стоит учитывать, что многие админы локалхостов, которые хоть раз в жизни запускали docker и установили nginx через ansible на две виртуалки, гордо бьют себя в грудь и кричат, что они devops инженеры. А потом ты начинаешь их собеседовать, а там полный мрак.<br> Уязвимость в Docker, связанная с предоставлением доступа к /... (Alex_hha) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#132 Wed, 22 Aug 2018 10:44:02 GMT &gt; volume небезопасны от команды docker ... prune <br><br>С таким же успехом "обычные" базы не безопасны от rm -fr, но мы тут держимся :D<br> Уязвимость в Docker, связанная с предоставление доступа к /p... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#131 Wed, 22 Aug 2018 09:01:51 GMT &gt; да во всем том же, в чем и у обычных сисадминов. В отслеживании уязвимостей и устранении их.<br><br>За исключением того что у них (девопсов этих ваших) как правило нет для этого ни знаний, ни умений.<br> Уязвимость в Docker, связанная с предоставление доступа к /p... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#130 Wed, 22 Aug 2018 08:55:56 GMT А нахрена их запускать на одном хосте ?<br> Уязвимость в Docker, связанная с предоставление доступа к /p... (ALex_hha) https://www.opennet.ru/openforum/vsluhforumID3/115082.html#129 Wed, 22 Aug 2018 06:02:22 GMT &gt; И в чём же она выражается?<br><br>да во всем том же, в чем и у обычных сисадминов. В отслеживании уязвимостей и устранении их. А вот каким способом, это уже вопрос другой. Если обычный сисадмин, условно, сделает yum update и /или наложит патч и соберет новый rpm, то девопс по сути сделает тоже самое, просто запустит соотв джобу в CI/CD, которая сделает тоже самое, только внутри докера ;)<br><br>Очень давно был проект на php 4, который просто работал и все, естественно перевести на 5ку его не реально, там по сути заново надо было бы все переписать, так и работал в докере и отлично себя чувствовал.<br><br>А совсем недавно был у меня проект на ruby 1.8, который был в докере, ибо там такое легаси, что туда лучше не смотреть. Но как тут рассказывают некоторые сказочники локалхостов, что всех разработчиков таких систем надо уволить и переписать на современные версии, в том случае это было не реально, от слова совсем. При этом это был один из крупнейших сервисов америки по продажам gift карточек, а там крутится много много ден