URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124299
[ Назад ]
Исходное сообщение
"Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера"
Отправлено opennews , 20-Май-21 22:31
В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид безобидную конфигурацию контейнера, которая приведёт к bind-монтированию внешней ФС внутри контейнера. Проблема устранена в обновлении runc 1.0.0-rc95...Подробнее: https://www.opennet.me/opennews/art.shtml?num=55180
Содержание
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 22:31 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Леголас, 11:47 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 22:33 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 22:36 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,СССР, 01:54 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,richman1000000, 07:51 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,заминированный тапок, 11:01 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 17:38 , 25-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,заминированный тапок, 20:49 , 25-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Жироватт, 14:23 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,виндотролль, 07:57 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 22:35 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 22:41 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,виндотролль, 08:02 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 11:45 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,виндотролль, 14:33 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,А, 21:03 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 23:18 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 23:22 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 10:40 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Admenestrator, 23:23 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Нек, 23:30 , 20-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,СССР, 02:03 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,abu, 03:26 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,hefenud, 07:35 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,richman1000000, 07:55 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 10:53 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,нах.., 09:33 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Онаним, 10:01 , 22-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 11:00 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,А, 21:06 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 00:18 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Rev, 00:18 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Anonymousqwe, 01:06 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Anonymousqwe, 01:07 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 01:02 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,нах.., 01:17 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,псевдонимус, 02:50 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 08:30 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,миша_шигорин_и_его_любезный_друг_эм_си, 04:45 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,bi brother, 08:13 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 08:22 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Мяус, 13:02 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Мертвец, 14:13 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,YetAnotherOnanym, 13:10 , 21-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 20:58 , 26-Май-21
- Уязвимость в runc, позволяющая получить доступ к ФС вне конт...,Аноним, 20:59 , 26-Май-21
Сообщения в этом обсуждении
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:31
Я думал, GO защищён от таких ошибок, иначе чем он лучше PHP?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Леголас , 21-Май-21 11:47
всё сорта одного
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:33
Вот если бы писали на безопасном Си, а не на этой смузихлебной поделки то уязвимостей бы небыло
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:36
Ты вероятно прав кстати, проблема достаточно классическая с точки зрения разработки на си.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено СССР , 21-Май-21 01:54
Да Си тоже не не выход, просто така тенденция у программистов иметь кривожопые руки. все проще все хайпово должно быть у современников.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено richman1000000 , 21-Май-21 07:51
К сожалению, вы правы.
Я на работе вижу эту криоврукость каждый день...
Но тут наверно не криворукость, а лень больше играет
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено заминированный тапок , 21-Май-21 11:01
лень учиться делать правильно ?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 25-Май-21 17:38
>лень учиться делать правильно ?Не всегда, есть еще вариант, много где к тому же - "надо на вчера" (c)
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено заминированный тапок , 25-Май-21 20:49
>>лень учиться делать правильно ?
> Не всегда, есть еще вариант, много где к тому же - "надо
> на вчера" (c) https://i.imgur.com/HTXZNei.png
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Жироватт , 21-Май-21 14:23
Не. Тут тенденция удешевления найма работников умственного труда.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено виндотролль , 21-Май-21 07:57
Конечно, ведь нет поделки - нет уязвимости. К 2022 дописали бы.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:35
Выходит прав был сой коллега, что докер пишут !@$$%&.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 22:41
Добро пожаловать в реальный мир, Нео.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено виндотролль , 21-Май-21 08:02
Я бы даже взял шире, в основном только такие и пишут на го. Да и сам го в основном такие пишут.Потому очень мало толковых проектов на этом языке.
Но зато вот таких разработчиков больше, чем толковых, потому всегда найдутся писатели кода, и потому оно все быстрее разрабатывается.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 11:45
Слишком толсто
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено виндотролль , 21-Май-21 14:33
> Слишком толсто если ты о гошном рантайме, то да
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено А , 21-Май-21 21:03
Его уже написали... Он в прошлом.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 23:18
Я чета не проникся идеей докерства - ну вот вроде установил его завел контейнеры для разработки php mysql apache, вроде работает, но зачем мне это? К тому же там какойто цирк с отображением/поиском/управлением версиями образов.
Вернулся к нативно установленным пакетам.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 20-Май-21 23:22
Неасилил указать тег?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 10:40
Ну вот например какой командой мне посмотреть доступные к загрузке (pull) версии php?Я делаю docker search php мне выводится список без версий.
Далее делаю docker images --all
и он мне пишет
php 7.4.7 b73215b5e2cc 11 months ago
php latest b73215b5e2cc 11 months ago
Зачем он мне врёт что php 7.4.7 это latet?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Admenestrator , 20-Май-21 23:23
Ты просто не осилил, на самом деле это супе удобно.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Нек , 20-Май-21 23:30
Главное преимущество докера в поставке готовых образов на прод, а не для разработки
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено СССР , 21-Май-21 02:03
вот и я, зачеал на ютубе несколько видосов где в подробностях обясняют для чего и как готовится, попробовал, запустил, потыкал попользовался, и думаю, а к чему этот докер. в чем сложность написать скриты установки на том же питоне. так же можно создать виртуалку на kvm и там так же все теми же скриптами. а можно и саму виртуалку создавать автоматически и туда заливать все что нужно.
Ну прям вот кейс, мне нужно быстро установить постгрес, QT ну и библиотеку libssh. вот предположем что руками если делать то я прям устану устану, а докером вот просто щелкну палцем и вуаля, и я такой счастливый. И вопрос , а как часто тебе необходимы разлиные конфигурации?
все это похоже на очередную модную дичь.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено abu , 21-Май-21 03:26
Да. Дичь, нужная для определенных случаев, но не для каждой бочки затычка, как ее пытаются который год подавать. Щелкать пальцами, применяя докер, можно при условии, если сценарии сборок писали вменяемые люди в нормальных проектах. Но такое бывает далеко не всегда либо - писатели-то вменяемые, но всего не предусмотришь. Либо - написали, а через год свалили. И тогда все равно приходится лезть и править самому. А раз приходится править, а чаще - с нуля писать эту всю басню, то сразу куда-то пропадает легкость бытия и щелкание, а появляется мысль - =а к чему этот докер. в чем сложность написать скрипты установки на том же питоне=.
Отдельное щелкание пальцами - администрирование всего этого богатства бахромы. А ведь еще есть и Docker in Docker (:
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено hefenud , 21-Май-21 07:35
Докер хорош в одном, он удобен в CI/CD. Что бы у тебя всегда была чистая виртуалка в которую берем все свежие зависимости для сборки и там собираем, а потом образ дропаемТак ты получаешь всегда сборку сделанную в чистой среде и со всеми обновлениями безопасности
Вот для этого чертовски удобно
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено richman1000000 , 21-Май-21 07:55
увы и ах.
Пользуюсь докером в продакшине и считаю что пихать его всюду и визде - дибилизм.
Его нужно применять по назначению.
докер в CI/CD - для разработки, пожалуйста.
А вот в продакш будьте добры - на обычную виртуалку ставить.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 10:53
Стандартный кейс - установка устаревшего ПО, либо самого нового, либо . Самый хороший пример - java приложения. Когда-то была отличная репа "ppa:webupd8team/java", но она приказала долго жить. Потому что оракл снова ввел ограничения. А докер - отличное решение для развертывания в таких случаях.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено нах.. , 21-Май-21 09:33
Внезапно, чтобы была виртуалка - вполне достаточно использовать - виртуалку. Чтобы она была чистой - использовать golden images и снапшоты с автоочисткой.
Что мы и делали за десять лет до появления ненужно-доскеров.
И (будь та лавка до сих пор жива) делали бы посейчас, поскольку если для тестирования тебе нужно проверять что система доступна в том числе с виндовых клиентов - никакой доскер тут не поможет.Единственное, для чего необходим доскер - для подметания мусора за современными разработчиками и средствами разработки, тащащими все в хомяк прямо с гитхапа и гитляпа, без разбора, версия "всегда последняя".
Он позволяет все это аккуратно соскрести с диска разработчика, и водрузить на прод ровно в таком виде, в каком этот альтернативно-одаренный кое-как добился что оно "запускается". Ни о какой воспроизводимости сборки речь при этом не идет - оно каждые пять секунд новое. Образ позволяет откатиться на не настолько новое, которое еще не было поломано. И это, повторяю, единственная его ценность.
Все остальное обеспечивает виртуализация, средства изоляции системы и пакетные менеджеры, особо неосиленные разработчиками модных-современных поделок (в принципе, я их понимаю, ни винда, ни бубунточка которые они так обожают, иногда обе сразу - не позволяют научиться делать это нормально с небольшими трудозатратами)
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Онаним , 22-Май-21 10:01
Лучше и не скажешь, наверное.
Яростно плюсую.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 11:00
> Я чета не проникся идеей докерства - ну вот вроде установил
> его завел контейнеры для разработки php mysql apache, вроде
> работает, но зачем мне это?Ну, если у тебя половина разработчика - то да, можно и без докера. Но когда у тебя их человек 5 минимум, постоянно выкатывающих ревью, ты будешь через ансиблу костылить?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено А , 21-Май-21 21:06
Оно предназначено для другого и попытка использовать вместо ВМ не к месту.Оно для одноразовых коротких процессов, где нужно дропать изменения в системе на выходе. Часто и много.
Цирка с версионированием нет. Это делается в др. месте др. тулами.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 00:18
Где то плачет одинокий Rust с сишными дыренями
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Rev , 21-Май-21 00:18
Мне, как разработчику, было бы стыдно собирать 95-й релиз кандидат.
А им как будто нормально :(
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Anonymousqwe , 21-Май-21 01:06
Если у них релиз на каждый комит и весь прусе давно автоматизирован, то никто даже не думает собирать релиз, или нет.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Anonymousqwe , 21-Май-21 01:07
*процесс
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 01:02
Не понял, уже тринадцатый комментарий, а где шутка про то, что буква S в имени Docker значит Security?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено нах.. , 21-Май-21 01:17
ну вон в k8s есть нужная тебе буква (без него или какой другой автоматики эксплойт невозможен или бессмысленнен) - и что, легче тебе стало?
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено псевдонимус , 21-Май-21 02:50
Сколько уязвимостей за год выявили в изолированных от здравого смысла контейнерах?Дефективно изначально.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 08:30
докер тоже хочет свободы
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено миша_шигорин_и_его_любезный_друг_эм_си , 21-Май-21 04:45
и не переполнение и не указатели. но сисичники радуются.. а чё радуются? - на сисях нельзя проблемы с симлинками огрести? а может всё дело в сисисной реализации kvm в лялихе? - глядишь, еслибы лялих делали на нормальном языке и думали о безопасности, а не об указателях и памяти, то и небыло бы этих проблем. так что, однозначно всё нужно перепейсывать на D
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено bi brother , 21-Май-21 08:13
Ну, на "переполнение":
https://nvd.nist.gov/vuln/detail/CVE-2020-25574На "указатели":
https://nvd.nist.gov/vuln/detail/CVE-2021-25903
Полегчало? :-D
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 21-Май-21 08:22
Хех. Так и знал, Сейчас зайду и местные старожилы будут ругать, го, доккер, кубер, да и вообще все, что новее 2015 года. Новые технологии не нужны)
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Мяус , 21-Май-21 13:02
Нужны, проект suckless или gnu parallel, например, да хотя бы та система развертывания для bsd. А вот то, у чего нет манов, и на странице чего красуется кнопочка pricing, к которой из каждого утюга манят - не нужно.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Мертвец , 21-Май-21 14:13
>да хотя бы та система развертывания для bsdДа, CBSD таки рулит!
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено YetAnotherOnanym , 21-Май-21 13:10
Конечно, технология, в которой контейнер прибивается после того, как запущенный в нём серверный процесс демонизируется - это очень нужная штука, ага.
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 26-Май-21 20:58
Docker и KubernetesЭтим всё сказано
"Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."
Отправлено Аноним , 26-Май-21 20:59
Хаааааааааааааещё один убийцы C/C++ - go
Бугага