URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124299
[ Назад ]
Исходное сообщение
"Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера"
Отправлено opennews , 20-Май-21 22:31 
В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая  получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид безобидную конфигурацию контейнера, которая приведёт к bind-монтированию внешней ФС внутри контейнера. Проблема устранена в обновлении runc 1.0.0-rc95...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55180

Содержание
Сообщения в этом обсуждении
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:31 
Я думал, GO защищён от таких ошибок, иначе чем он лучше PHP?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Леголас , 21-Май-21 11:47 
всё сорта одного
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:33 
Вот если бы писали на безопасном Си, а не на этой смузихлебной поделки то уязвимостей бы небыло
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:36 
Ты вероятно прав кстати, проблема достаточно классическая с точки зрения разработки на си.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено СССР , 21-Май-21 01:54 
Да Си тоже не не выход, просто така тенденция у программистов иметь кривожопые руки. все проще все хайпово должно быть у современников.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено richman1000000 , 21-Май-21 07:51 
К сожалению, вы правы.
Я на работе вижу эту криоврукость каждый день...
Но тут наверно не криворукость, а лень больше играет
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено заминированный тапок , 21-Май-21 11:01 
лень учиться делать правильно ?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 25-Май-21 17:38 
>лень учиться делать правильно ?

Не всегда, есть еще вариант, много где к тому же - "надо на вчера" (c)

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено заминированный тапок , 25-Май-21 20:49 
>>лень учиться делать правильно ?
> Не всегда, есть еще вариант, много где к тому же - "надо
> на вчера" (c)

https://i.imgur.com/HTXZNei.png

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Жироватт , 21-Май-21 14:23 
Не. Тут тенденция удешевления найма работников умственного труда.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено виндотролль , 21-Май-21 07:57 
Конечно, ведь нет поделки - нет уязвимости. К 2022 дописали бы.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:35 
Выходит прав был сой коллега, что докер пишут !@$$%&.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:41 
Добро пожаловать в реальный мир, Нео.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено виндотролль , 21-Май-21 08:02 
Я бы даже взял шире, в основном только такие и пишут на го. Да и сам го в основном такие пишут.

Потому очень мало толковых проектов на этом языке.

Но зато вот таких разработчиков больше, чем толковых, потому всегда найдутся писатели кода, и потому оно все быстрее разрабатывается.

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 11:45 
Слишком толсто
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено виндотролль , 21-Май-21 14:33 
> Слишком толсто

если ты о гошном рантайме, то да

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено А , 21-Май-21 21:03 
Его уже написали... Он в прошлом.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 23:18 
Я чета не проникся идеей докерства - ну вот вроде установил его завел контейнеры для разработки php mysql apache, вроде работает, но зачем мне это? К тому же там какойто цирк с отображением/поиском/управлением версиями образов.
Вернулся к нативно установленным пакетам.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 23:22 
Неасилил указать тег?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 10:40 
Ну вот например какой командой мне посмотреть доступные к загрузке (pull) версии php?

Я делаю docker search php мне выводится список без версий.

Далее делаю docker images --all
и он мне пишет
php 7.4.7  b73215b5e2cc 11 months ago
php latest b73215b5e2cc 11 months ago

Зачем он мне врёт что php 7.4.7 это latet?

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Admenestrator , 20-Май-21 23:23 
Ты просто не осилил, на самом деле это супе удобно.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Нек , 20-Май-21 23:30 
Главное преимущество докера в поставке готовых образов на прод, а не для разработки
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено СССР , 21-Май-21 02:03 
вот и я, зачеал на ютубе несколько видосов где в подробностях обясняют для чего и как готовится, попробовал, запустил, потыкал попользовался, и думаю, а к чему этот докер. в чем сложность написать скриты установки на том же питоне. так же можно создать виртуалку на kvm и там так же все теми же скриптами. а можно и саму виртуалку создавать автоматически и туда заливать все что нужно.
Ну прям вот кейс, мне нужно быстро установить постгрес, QT ну и библиотеку libssh. вот предположем что руками если делать то я прям устану устану, а докером вот просто щелкну палцем и вуаля, и я такой счастливый. И вопрос , а как часто тебе необходимы разлиные конфигурации?
все это похоже на очередную модную дичь.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено abu , 21-Май-21 03:26 
Да. Дичь, нужная для определенных случаев, но не для каждой бочки затычка, как ее пытаются который год подавать.

Щелкать пальцами, применяя докер, можно при условии, если сценарии сборок писали вменяемые люди в нормальных проектах. Но такое бывает далеко не всегда либо - писатели-то вменяемые, но всего не предусмотришь. Либо - написали, а через год свалили. И тогда все равно приходится лезть и править самому. А раз приходится править, а чаще - с нуля писать эту всю басню, то сразу куда-то пропадает легкость бытия и щелкание, а появляется мысль - =а к чему этот докер. в чем сложность написать скрипты установки на том же питоне=.

Отдельное щелкание пальцами - администрирование всего этого богатства бахромы. А ведь еще есть и Docker in Docker (:

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено hefenud , 21-Май-21 07:35 
Докер хорош в одном, он удобен в CI/CD. Что бы у тебя всегда была чистая виртуалка в которую берем все свежие зависимости для сборки и там собираем, а потом образ дропаем

Так ты получаешь всегда сборку сделанную в чистой среде и со всеми обновлениями безопасности
Вот для этого чертовски удобно

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено richman1000000 , 21-Май-21 07:55 
увы и ах.
Пользуюсь докером в продакшине и считаю что пихать его всюду и визде - дибилизм.
Его нужно применять по назначению.
докер в CI/CD - для разработки, пожалуйста.
А вот в продакш будьте добры - на обычную виртуалку ставить.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 10:53 
Стандартный кейс - установка устаревшего ПО, либо самого нового, либо . Самый хороший пример - java приложения. Когда-то была отличная репа "ppa:webupd8team/java", но она приказала долго жить. Потому что оракл снова ввел ограничения. А докер - отличное решение для развертывания в таких случаях.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено нах.. , 21-Май-21 09:33 
Внезапно, чтобы была виртуалка - вполне достаточно использовать - виртуалку. Чтобы она была чистой - использовать golden images и снапшоты с автоочисткой.
Что мы и делали за десять лет до появления ненужно-доскеров.
И (будь та лавка до сих пор жива) делали бы посейчас, поскольку если для тестирования тебе нужно проверять что система доступна в том числе с виндовых клиентов - никакой доскер тут не поможет.

Единственное, для чего необходим доскер - для подметания мусора за современными разработчиками и средствами разработки, тащащими все в хомяк прямо с гитхапа и гитляпа, без разбора, версия "всегда последняя".

Он позволяет все это аккуратно соскрести с диска разработчика, и водрузить на прод ровно в таком виде, в каком этот альтернативно-одаренный кое-как добился что оно "запускается". Ни о какой воспроизводимости сборки речь при этом не идет - оно каждые пять секунд новое. Образ позволяет откатиться на не настолько новое, которое еще не было поломано. И это, повторяю, единственная его ценность.

Все остальное обеспечивает виртуализация, средства изоляции системы и пакетные менеджеры, особо неосиленные разработчиками модных-современных поделок (в принципе, я их понимаю, ни винда, ни бубунточка которые они так обожают, иногда обе сразу - не позволяют научиться делать это нормально с небольшими трудозатратами)

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Онаним , 22-Май-21 10:01 
Лучше и не скажешь, наверное.
Яростно плюсую.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 11:00 
> Я чета не проникся идеей докерства - ну вот вроде установил
> его завел контейнеры для разработки php mysql apache, вроде
> работает, но зачем мне это?

Ну, если у тебя половина разработчика - то да, можно и без докера. Но когда у тебя их человек 5 минимум, постоянно выкатывающих ревью, ты будешь через ансиблу костылить?

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено А , 21-Май-21 21:06 
Оно предназначено для другого и попытка использовать вместо ВМ не к месту.

Оно для одноразовых коротких процессов, где нужно дропать изменения в системе на выходе. Часто и много.

Цирка с версионированием нет. Это делается в др. месте др. тулами.

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 00:18 
Где то плачет одинокий Rust с сишными дыренями
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Rev , 21-Май-21 00:18 
Мне, как разработчику, было бы стыдно собирать 95-й релиз кандидат.
А им как будто нормально :(
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Anonymousqwe , 21-Май-21 01:06 
Если у них релиз на каждый комит и весь прусе давно автоматизирован, то никто даже не думает собирать релиз, или нет.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Anonymousqwe , 21-Май-21 01:07 
*процесс
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 01:02 
Не понял, уже тринадцатый комментарий, а где шутка про то, что буква S в имени Docker значит Security?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено нах.. , 21-Май-21 01:17 
ну вон в k8s есть нужная тебе буква (без него или какой другой автоматики эксплойт невозможен или бессмысленнен) - и что, легче тебе стало?

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено псевдонимус , 21-Май-21 02:50 
Сколько уязвимостей за год выявили в изолированных от здравого смысла контейнерах?

Дефективно изначально.

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 08:30 
докер тоже хочет свободы
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено миша_шигорин_и_его_любезный_друг_эм_си , 21-Май-21 04:45 
и не переполнение и не указатели. но сисичники радуются.. а чё радуются? - на сисях нельзя проблемы с симлинками огрести? а может всё дело в сисисной реализации kvm в лялихе? - глядишь, еслибы лялих делали на нормальном языке и думали о безопасности, а не об указателях и памяти, то и небыло бы этих проблем. так что, однозначно всё нужно перепейсывать на D
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено bi brother , 21-Май-21 08:13 
Ну, на "переполнение":
https://nvd.nist.gov/vuln/detail/CVE-2020-25574

На "указатели":
https://nvd.nist.gov/vuln/detail/CVE-2021-25903

Полегчало? :-D

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 08:22 
Хех. Так и знал, Сейчас зайду и местные старожилы будут ругать, го, доккер, кубер, да и вообще все, что новее 2015 года. Новые технологии не нужны)
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Мяус , 21-Май-21 13:02 
Нужны, проект suckless или gnu parallel, например, да хотя бы та система развертывания для bsd. А вот то, у чего нет манов, и на странице чего красуется кнопочка pricing, к которой из каждого утюга манят - не нужно.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Мертвец , 21-Май-21 14:13 
>да хотя бы та система развертывания для bsd

Да, CBSD таки рулит!

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено YetAnotherOnanym , 21-Май-21 13:10 
Конечно, технология, в которой контейнер прибивается после того, как запущенный в нём серверный процесс демонизируется - это очень нужная штука, ага.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 26-Май-21 20:58 
Docker и Kubernetes

Этим всё сказано

"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 26-Май-21 20:59 
Хааааааааааааа

ещё один убийцы C/C++ - go

Бугага