forum.opennet.ru

"Уязвимость в Docker, позволяющая выбраться из контейнера"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в Docker, позволяющая выбраться из контейнера"	+/–
Сообщение от пох. (?), 30-Май-19, 16:08
> docker cp? Нет, не запустит. В процессе продового деплоя отладочным операциям не > место. ага, перезапускать до посинения прода, после - обновить резюме. >> Не, не будем ковыряться, какая нам разница что там не работает - проще редеплойнуть, ага? > Для ветеран-админов из девяностых, у которых одновременно в ведении было максимум десяток > демонов, сложно понять, как можно работать с десятком тысяч контейнеров. Вы так же, как мы работали с тысячей-другой физических хостов без всяких контейнеров - ничего ужасного в этом нет. > все время проецируете SOHO-методы - вручную чинить каждый сбой каждого приложения. это как раз промышленные методы - _сбоям_, а не отладке, на проде не место. Как и лечению перезапуском. Если нельзя откатиться на заведомо исправную версию - да, идешь и разбираешься, что сломалось. Если делаешь это вручную - достаточно одного инстанса каждого типа, затронутого ошибкой. Ну а если все переавтоматизировал так, что ручного доступа вообще нет - получай в свой канализационный коллектор терабайт ненужного мусора и ищи там, как хочешь. хотя да, зачем - надо просто перезапустить, потом еще два раза перезапустить, потом обновить резюме и еще раз перезапустить. В резюме, разумеется, не забыть упомянуть опыт обслуживания продакшн-систем с миллионом инстансов.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в Docker, позволяющая выбраться из контейнера, opennews, 29-Май-19, 13:22 [смотреть все]

Ждем комментаторов с искрометными шутками про девляпсов и контейнеры нинужны , Аноним, 29-Май-19, 13:22 (1) //
- Контейнеры нинужны, у меня на Windows 10 ничего не изолировано и работает , КэГэБэ эСэСэСэР, 29-Май-19, 13:25 (2) //
  - И тебе нечего скрывать , Аноним, 29-Май-19, 16:54 (42)
  - Ничего кроме тебя самого , VINRARUS, 29-Май-19, 18:32 (58)
- Дыркер -- он про сак-сцесс и искромётные комментарии https www opennet, Andrey Mitrofanov_N0, 29-Май-19, 13:26 (3) //
  - поставил тебе - -- первый -- безумный -- Текст второй безум, Аноним, 29-Май-19, 19:35 (64)
  - Митрофаныч, у тебя учетку на опеннетике угнали что ли , Васян, 30-Май-19, 17:47 (137) //
    - Граждане, это поддельный Митрофанушко , Васян, 30-Май-19, 17:49 (138)
- Почему это не нужны Это хорошый способ предотвратить возможность какому-нибудь , Аноним, 29-Май-19, 13:30 (5) //
  - Этот кейс требует изоляции только на уровне файловой системы, что легко решается, Аноним, 29-Май-19, 16:37 (40) //
    - Да, но инфраструктура более легковесных в плане ресурсов решений оказывается бол, freehck, 29-Май-19, 18:31 (57)
      - Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, п, Anonymoustus, 29-Май-19, 19:03 (60)
        
        Анонимаустус, а каким боком и что именно докер сломал-то , freehck, 29-Май-19, 19:53 (69)
        
        Не доскер сломал, а те, кто из линукса делают корпоративную пускалку для доскеро, Anonymoustus, 29-Май-19, 20:12 (73)
        
        Никсы нужны для того, чтобы ими пользоваться, причём - как _угодно_, так и польз, IRASoldier_registered, 30-Май-19, 02:34 (98)
        
        Здесь у нас, похоже, ещё один опоздавший родиться, не читавший ни Реймонда, ни К, Anonymoustus, 30-Май-19, 07:17 (102)
        
        Ой, а в чём, расскажИте А то вы может тоже похоже не читали , Аноним, 30-Май-19, 13:25 (114)
        
        Эти ссылки не для тебя, невежливый аноним, ты всё равно читать не будешь Это дл, Anonymoustus, 30-Май-19, 13:28 (116)
        
        Про macOS и Все те маленькие sh, awk, sed, vi vim и пр и не очень маленькие , Andrey Mitrofanov_N0, 31-Май-19, 08:49 (154)
        https www opengroup org openbrand registerЕсли бы ты пользовался Маком, ты бы , Anonymoustus, 31-Май-19, 09:03 (155)
        
        И не для того, чтобы молиться на священные книги предков и основателей Предн, IRASoldier_registered, 30-Май-19, 18:09 (141)
        
        Ты книжки почитай по моим ссылкам, проникнись, _пойми_ наконец, _что такое_ Юник, Anonymoustus, 30-Май-19, 18:28 (144)
        
        Книжки-то интересные И читанные Но _дискуссия_ не имеет никакого реального смы, IRASoldier_registered, 30-Май-19, 20:10 (145)
        
        Главное было в рисёрче на авось продажникам AT T прокатит Чего бы там академия, Andrey Mitrofanov_N0, 31-Май-19, 08:41 (153)
        
        Юникс изначально делали не для продажи для продажи там были другие товары и усл, Anonymoustus, 31-Май-19, 09:12 (156)
        
        И где теперь все те никсы для корпоративных задач которыми пользовались Гуса, анонн, 30-Май-19, 13:28 (117)
        
        Самые распространенные в этом сегменте дистрибутивы линуксов бсд - ну да ты ж , IRASoldier_registered, 30-Май-19, 17:55 (139)
        
        И это отвечает на какой вопрос Помимо того, что если даже забыть о Linux is not, анонн, 30-Май-19, 18:11 (142)
        
        Какой-то уход разговора в сторону и кашеобразие С чего началось Началось с тог, IRASoldier_registered, 30-Май-19, 20:29 (146)
        
        Сделали уже Маленькая пускалка для dockerhttps rancher com rancher-os , Anonymouss, 29-Май-19, 20:53 (79)
      - Потому что это не правильный подход Надо не систему бутстрапить, а сбандлить с , Аноним, 30-Май-19, 08:29 (103)
  - Плюсую А ещё деплой удобнее в разы становится , freehck, 29-Май-19, 18:28 (56) //
    - деплой мусорных монстров мы скачали пол-интернета себе в хомяк и еще вон там и , пох., 29-Май-19, 20:11 (72)
      - я лучше виртуалку накачу, хотел спросить, 29-Май-19, 22:05 (86)
        
        с виртуалкой - попадос, это полноценный сервер - добро пожаловать в мир регулярн, пох., 29-Май-19, 22:13 (91)
        
        а в контенерах что по-другому или на виртуалках снапшотов нет , хотел спросить, 30-Май-19, 02:28 (97)
        
        в контейнере у тебя если все сделал по методичке и каким-то чудом это получилос, пох., 30-Май-19, 13:54 (122)
        
        А контейнер Тот самый рантайм на котором крутится мое приложение Кто его будет, хотел спросить, 30-Май-19, 21:54 (147)
- Если писать код абсолютно правильно, то контейнеры не особо то и нужны Но с ним, Аноним, 29-Май-19, 13:49 (8) //
  - максималист детектед Возвращайся в мир собственных фантазий, kai3341, 29-Май-19, 14:07 (10)
  - Контейнеры были придуманы для разделения ресурсов между сервисами, выполняющимис, Аноним, 29-Май-19, 16:27 (39) //
    - да ну нах Я-то думал для разделения ресурсов были придуманы многозадачные опера, пох., 29-Май-19, 22:06 (87)
    - systemd-nspawn, SysA, 30-Май-19, 17:27 (135)
  - Если использовать java EE, то доцкер не нужен Может есть и другие вменяемые пла, лютый жабист__, 29-Май-19, 18:44 (59) //
    - угу, вместо сравнительно дешевого девляпса надо кормить наглого и распухшего от , пох., 30-Май-19, 14:09 (123)
- У девляпсов копирование файлов в контейнер точнее, образ выполняется только , Fyjybv755, 29-Май-19, 15:22 (27) //
  - объявленные те что персистентны, а не каждый раз вручную deprecated пять лет н, пох., 29-Май-19, 16:07 (33) //
    - И чем заменять предлагают , Анониим, 29-Май-19, 17:00 (43)
      - как обычно, ничем - как, вы не слышали в какой криокамере вы спали standalone, пох., 29-Май-19, 17:58 (49)
        
        в k8s все тем более через volume-ы делается, Аноним, 29-Май-19, 18:13 (53)
        
        Судя по его комментам в этом обсуждении, докер он видел только на картин Wвинде,, Fyjybv755, 30-Май-19, 12:41 (112)
        
        ваш сварм - такое же устаревшее ненужно, уже выкинутое ляпателями доскера в помо, пох., 30-Май-19, 14:16 (125)
    - Осталось найти девопса и убедить его сто раз скачать файл из работающего контейн, sailorCat, 29-Май-19, 17:37 (45)
      - ну нет, зачем же так - надо найти девопса с десятью тысячами контейнеров, и как-, пох., 29-Май-19, 18:00 (50)
        
        Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - , Fyjybv755, 30-Май-19, 12:39 (111)
        
        Зачем ты приписываешь свои слова другим На практике проще Но не правильней Потом, Аноним, 30-Май-19, 13:31 (118)
        ну нет, зачем же - он как раз автоматически наш эксплойт и запустит, вручную-то , пох., 30-Май-19, 14:22 (126)
        
        docker cp Нет, не запустит В процессе продового деплоя отладочным операциям не, Fyjybv755, 30-Май-19, 15:52 (128)
        
        ага, перезапускать до посинения прода, после - обновить резюме так же, как мы ра , пох., 30-Май-19, 16:08 (132)
    - Где вы такую траву берете Или вы машину времени украли и пишете из 2030 года , Анонимус2, 29-Май-19, 19:38 (65)
      - Не машину, а вагон времени Всё это ваше ГНУ именно про вагон бесплатного чужого, Аноним, 30-Май-19, 13:27 (115)
        
        Сестра, тампоны В треде ушибленный ГНУ 1У тебя ушиб, если ты девляпсы выше п, Andrey Mitrofanov_N0, 31-Май-19, 09:21 (157)
    - О, сразу видно великого спеца по девляпсам Контейнеры, значит, вручную создаете, Fyjybv755, 30-Май-19, 12:35 (110)
      - сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных т, пох., 30-Май-19, 14:25 (127)
        
        Нет, я не понял, нафига вообще нужны персистентные тома Еще раз список томов в, Fyjybv755, 30-Май-19, 16:07 (131)
        
        в этой- низачем, поэтому поломано и починено не будет Как и много чего еще, бр, пох., 30-Май-19, 16:11 (133)
- Не каждому разработчику удаётся выбраться из контейнера на оплачиваемую работу , Канделябры, 29-Май-19, 16:02 (32) //
  - Хьело фрём Индия, дрюгь Ми написале харёши кёд для твая видиёкартачкя, дрюгь Т, Аноним, 29-Май-19, 18:10 (52)
- Жаль, что тебе и подобным не понятно, что это не шутки в целом Контейнеры сами п, Дон Ягон, 29-Май-19, 16:17 (37) //
  - какая разница между концепцией контейнеров, ее реализацией в докере и линуксовым, виндотролль, 30-Май-19, 06:44 (101) //
    - Это, на самом деле, непростой вопрос, на который развёрнуто отвечать можно очень, Дон Ягон, 30-Май-19, 16:00 (130)
- Ты про вебмакак забыл без них никуда , Аноним, 29-Май-19, 18:18 (55)
- Контейнеры2 НЕ НУЖНЫ дЕВЛЯПСЫ И ХИПСТОТА ЗЛО , псевонимус, 02-Июн-19, 15:53 (162)
nobigfatdaemon, Аноним, 29-Май-19, 13:26 (4)
S in docker stands for securityУже было и потёрли , ыфективный манагер, 29-Май-19, 13:46 (6) //
- шутка, повтроненная в десятый раз уже не смешна, имя, 29-Май-19, 14:07 (9) //
  - Кто бы это Астахалу объяснил , анонн, 29-Май-19, 14:11 (11)
  - отнюдь, коллега, отнюдь, Евгений Петросян, 29-Май-19, 14:24 (13)
- Вроде так обычно не про докер шутили, а про systemd WAIT, OH SHI , Fyjybv755, 29-Май-19, 15:12 (23)
notabug, Аноним, 29-Май-19, 13:47 (7)
Ну где тот аноним, который биткоинами разбрасывался месяц даже не прошел , Sw00p aka Jerom, 29-Май-19, 14:19 (12) //
- ну он вроде обещался за вылезание из контейнера, а не за эксплуатацию уязвимости, пох., 29-Май-19, 14:26 (14) //
  - И вероятность удачи порядка 1 на попытку Очень долго придется несчастного лоха, Fyjybv755, 29-Май-19, 15:09 (22)
- Он обещал за выход из контейнера А сабжевая жуткая мега-уязвимость предполагает, Fyjybv755, 29-Май-19, 15:06 (18) //
  - так каждый дурак может, тут идея что полномочия-то не у тебя, а используешь их -, пох., 29-Май-19, 16:08 (34) //
    - Фигасе без спросу - сотню-другую раз подряд просить админа ну скопируй мне фа, Fyjybv755, 30-Май-19, 12:42 (113)
Systemd, dockers, не хватает только реестра для полного счастья , Аноним, 29-Май-19, 14:37 (15) //
- dconf, Аноним, 29-Май-19, 14:42 (17)
- C буквой s это будет другой, неправильный докер , Аноним84701, 29-Май-19, 15:06 (19)
- Wayland же, причем тут реестр , Аноним, 29-Май-19, 15:23 (28) //
  - -- Тому не надо Windows искать, у кого он за спиной стоит почти , Andrey Mitrofanov_N0, 29-Май-19, 15:44 (30) //
    - на десктопе стоит , пох., 29-Май-19, 16:09 (35)
      - не, за спиной rh W ibmel-а , Andrey Mitrofanov_N0, 31-Май-19, 09:27 (158)
- В топике ничего не сказано про systemd, чудик , Gannet, 29-Май-19, 23:22 (92)
Вот уязвимость так уязвимость Я аж забоялся , corvuscor, 29-Май-19, 14:40 (16)
Может, проще сразу попросить рутовый доступ А что, неплохая уязвимость получает, Fyjybv755, 29-Май-19, 15:08 (20)
А когда выберетесь из докера, то что дальше делать будете , Аноним, 29-Май-19, 15:08 (21) //
- Если говорить о реалистичных сценариях атаки, то это не выбраться из контейнера, Fyjybv755, 29-Май-19, 15:15 (24)
Снова ночь и снова демоны приподнимают крышки контейнеров, оглядываются вокруг и, Какаянахренразница, 29-Май-19, 15:20 (25)
Вот читаю комментарии, и удивляюсь Никогда столь дырявая вещь не захватывала ум, zurapa, 29-Май-19, 15:58 (31) //
- вот сейчас обидно получилось доскер с системд - не то что не близнецы-братья, а , пох., 29-Май-19, 16:16 (36) //
  - Мне не понятно Объясни , Ёж, 29-Май-19, 17:05 (44) //
    - у тебя есть демон, работает с поднятыми привиллегиями, запускается тем у кого он, пох., 29-Май-19, 17:54 (47)
- да при чём тут докер то E у меня за 2 года прода багов докера было ровно два, , вИКТОР АГН, 29-Май-19, 20:01 (70) //
  - да-да-да, если у меня работает, значит не гoвно , Аноним, 30-Май-19, 02:37 (99)
  - 2K рпс наносекунду Толсто однако РПС - RPS - requests per second Даже если за, Аноним, 31-Май-19, 06:37 (150)
  - Другими словами вы pizdobol сэр , Аноним, 31-Май-19, 06:39 (151)
  - Я в своём комментарии, как бы намека явно говорю , что без systemd, с которым т, zurapa, 31-Май-19, 11:56 (159)
Нео путь избранного, Гномспецназ, 29-Май-19, 16:22 (38)
А что Freebsd с её джейламм , Аноним, 29-Май-19, 16:47 (41) //
- какой был 100 лет назад, такой и остался, пусть таким и остается, Sw00p aka Jerom, 29-Май-19, 17:47 (46) //
  - кое-что все же успели испортить за последние пять - в погоне за косплеем доскера, пох., 29-Май-19, 17:55 (48) //
    - vnet что-ли На 11 2 все ещё кидал систему в панику если в разных клетках свой p, abi, 29-Май-19, 20:21 (75)
      - в клетках пф о Боже, Sw00p aka Jerom, 29-Май-19, 21:58 (83)
        
        ну а зачем вообще тебе vnet с разделяемой физической сетевухой и так все работа, пох., 29-Май-19, 22:08 (89)
        
        алиасов хватает , Sw00p aka Jerom, 30-Май-19, 00:19 (94)
        
        Алиасы не нужны vhid практичней , Аноним, 30-Май-19, 13:33 (119)
        так это и есть разделение физической сетевухи - хошь алиасами, а не хошь просто , пох., 30-Май-19, 17:44 (136)
        
        а зачем тогда pf тянуть в джейл , Sw00p aka Jerom, 30-Май-19, 17:56 (140)
        
        в смысле Это способы его туда не тянуть А pf в jail можно хотеть тянуть по милл, пох., 30-Май-19, 18:23 (143)
        
        О да Сорян за лёгкий некропостинг, но да, это прекрасно Ты закоммитишь - и т, Дон Ягон, 04-Июн-19, 01:14 (163)
Для всех в этом чатике изоляция бывает только аппаратная И то там работает соци, Аноним, 29-Май-19, 18:14 (54) //
- Ещё дыры в интеловских процах там ничего так работают , Онаним, 29-Май-19, 19:45 (66)
- Эту вашу аппаратную изоляцию ломают чаще чем в докере дыры находят При этом её , Анонимус2, 29-Май-19, 19:46 (67) //
  - Это изоляция , она такая же наша как и твоя И почему изоляцию ломают, а дыры , Аноним, 30-Май-19, 13:36 (120) //
    - Вот тут ты очень смешно протролил Надо запомнить Буду теперь всем DevOps ам го, zurapa, 31-Май-19, 12:03 (160)
- И хорошо работает Аппаратная изоляция - это программная, реализованная на уровн, Аноним, 29-Май-19, 21:05 (82)
Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал из , Аноним, 29-Май-19, 19:20 (63) //
- Был такой Тони Ролт Прославился еще как гонщик и тем, что для последнего побе, Аноним84701, 29-Май-19, 20:48 (76)
Почему баг обработки симлинков исправляется приостановкой контейнера , sleeply4cat, 29-Май-19, 19:48 (68) //
- потому что твой супер контейнер должен быть stateless, и их должно быть два мини, вИКТОР АГН, 29-Май-19, 20:06 (71)
- потому что макака по другому просто не умеет Контейнер стопнула - опа, вот и ra, пох., 29-Май-19, 20:17 (74)
Девопсненько так В lxc проблемы нет, но девопсяры же в неё не умеют, им решеток, mumu, 29-Май-19, 20:49 (77) //
- lxc очень сложно, нужно проходить курсы для запуска hello world, Анонимный эксперт, 29-Май-19, 20:52 (78) //
  - lxc еще и очень криво, неудачный косплей виртуальной машины К ней бы runc от cle, пох., 29-Май-19, 22:11 (90)
- В podman тоже нет проблемы, но во многом аналогичен докеру по использованию Да , Аноним, 29-Май-19, 21:00 (80) //
  - https github com rgroux exemples wiki Howto -LXC---container-without-root-priv, Аноним, 30-Май-19, 11:41 (108)
- Вообще этих контейнеров вагон и маленький вагон, но бабки нашептали только три б, Аноним, 29-Май-19, 21:01 (81) //
  - Вопрос в том, как много из них прошли аудит безопасности и стали готовы для прод, mumu, 30-Май-19, 10:05 (105) //
    - лолшта Конечно ноль ВСЕ каравай-каравай, каку хочешь Выбирай , пох., 30-Май-19, 16:14 (134)
      - Только то что запускают в реальной VM, как например VMware Photon , Анонимный эксперт, 31-Май-19, 04:30 (149)
        
        ты еще скажи, что она проходила какой-то там аудит или что секретная технологи, пох., 31-Май-19, 07:19 (152)
- В systemd-nspawn тоже проблемы нет , Gannet, 29-Май-19, 23:27 (93)
Ну что, сколько уже смузихлебов выбралось из своего картонного контейнера Уже е, Погонщик, 30-Май-19, 01:05 (95)
ШОК, СЕНСАЦИЯ Найдена уязвимость во всех ОС Если иметь права root админа, то, Аноним, 30-Май-19, 02:23 (96) //
- А можно поподробнее Хочу УБИТЬ СИСТЕМУ , Аноним, 30-Май-19, 03:26 (100) //
  - Имей систему - переходи на красный , Пишу из ванны, 30-Май-19, 08:57 (104)
  - Можно killall systemДерзай , Аноним, 30-Май-19, 13:38 (121) //
    - killall system , анонн, 30-Май-19, 14:14 (124)
- Если на каждый шмокер приходится ровно по одному хосту, то не страшно конечно Н, mumu, 30-Май-19, 10:06 (106) //
  - для деплоя же ж но так красиво получается только первые три дня - а дальше кон, пох., 30-Май-19, 12:05 (109)
Убедить Да сейчас каждая вторая приблуда - нет времени объяснять, качай docker, Аноним, 01-Июн-19, 18:20 (161)
Используйте для изоляции харденед chroot от grsecurity net, Anonim, 10-Июн-19, 10:12 (164)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру