форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+/–
Сообщение от opennews (??) on 08-Май-15, 22:08
Представлен (http://openwall.com/lists/oss-security/2015/05/07/10) внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.6.1, в котором устранены четыре уязвимости, каждая из которых позволяет выполнить операции с повышенными привилегиями при обработке специально оформленных образов контейнеров или файлов Dockerfile. Пользователям рекомендуется запускать только собственные образы или образы, полученные из заслуживающих доверия источников. Проблема CVE-2015-3629 связана с некорректной обработкой символических ссылок и позволяет перезаписать файл на стороне хост-системы в момент запуска контейнера. Проблема CVE-2015-3627 вызвана  открытием файлового дескриптора с номером 1 до вызова chroot. Проблема CVE-2015-3630 вызвана возможности чтения/записи в псевдо-ФС /proc, что позволяет манипулировать параметрами хост-системы через пути proc/asound, /proc/timer_stats, /proc/latency_stats и /proc/fs. Проблема CVE-2015-3631 возникла из-за возможности использования содержимого /proc в качестве точки монтирования разделов. Дополнительно, можно отметить заявление (https://coreos.com/blog/appc-gains-new-support/) о поддержке в продуктах компаний Google, Red Hat, Apcera и VMware спецификации App Container (https://github.com/coreos/rocket/blob/master/app-container/S...), развиваемой в рамках конкурирующего с Docker проекта Rocket (http://www.opennet.me/opennews/art.shtml?num=41168). Rocket позиционируется как более безопасная, переносимая и адаптированная для серверного применения альтернатива инструментарию Docker. Спецификация App Container определяет универсальный и переносимый формат контейнеров, и позволяет создавать независимые собственные реализации, совместимые с инструментарием Rocket. URL: http://openwall.com/lists/oss-security/2015/05/07/10 Новость: http://www.opennet.me/opennews/art.shtml?num=42195
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+3 +/–
	Сообщение от Аноним (??) on 08-Май-15, 22:08
	Какой смысл во всей этой изоляции, когда в Docker чуть ли не каждый месяц дыры находят, позволяющий выйти за пределы контейнера? Причем дыры именно в Docker, а не в частях ядра, через которые эта изоляция делается. Старый-добрый chroot процесса со сбросом привилегий, IMHO, и то надёжнее всей этой новомодной автоматизации.
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	–1 +/–
	Сообщение от Аноним (??) on 08-Май-15, 23:38
	всё благодаря системды
	Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	–1 +/–
	Сообщение от Anonplus on 09-Май-15, 01:13
	Детские болезни, со временем пройдут.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+1 +/–
	Сообщение от Аноним (??) on 09-Май-15, 01:25
	> Детские болезни, со временем пройдут. тогда пусть они их лечат, а мы пока на нормальных полноценных виртуалках посидим
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+1 +/–
	Сообщение от Аноним (??) on 09-Май-15, 01:39
	> всё благодаря системды щито? и докер, и рокет нормально без неё работают
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+5 +/–
	Сообщение от Аноним (??) on 09-Май-15, 02:07
	> Какой смысл во всей этой изоляции, когда в Docker чуть ли не > каждый месяц дыры находят, позволяющий выйти за пределы контейнера? Причем дыры > именно в Docker, а не в частях ядра, через которые эта > изоляция делается. Старый-добрый chroot процесса со сбросом привилегий, IMHO, и то > надёжнее всей этой новомодной автоматизации. Верно подмеченно. Глядя на подобные уязвимости, мне постоянно вспоминаются слова Тео де Раадта касающиеся вопроса виртуализации и обеспечение ею безопасности (к слову, это его выражение часто принимают за его общее отношение к виртуализации, против, которой он ничего не имеет.. если её не пытаются "рекламировать", как средство безопасности). В вольном переводе оно звучит так: "виртуализация, на практике, ещё один слой поверх уже существующей ОС. Вы, должно быть, ненормальный, если считаете, что разработчики программного обеспечения которые сегодня не в состоянии писать программное обеспечение без уязвимостей, ВНЕЗАПНО, возьмут и начнут писать вам столь сложную штуку, как виртуализация, без дыр в безопасности". Собственно дела обстоят ещё "веселее". Взять любую из вышеприведённых уязвимостей. Каждая из них по отдельности(!) совершенно тривиально обрушивает полностью все преграды против злоумышленников, созданные программными инжинерами UNIX за десятилетия. Очевидно, что запускайся это ПО (за безопасность которого беспокоются!) вне контейнера, будучи скомпрометированным, нанесёт значительно меньше вреда системе, чем, запускаясь в Docker'e, когда система укладывается полностью на лопатки и становится абсолютно подчинённой злоумышленнику. Виртуализация - прекрасная и нужная штука, решающая сотню и сотню различных проблем, сценариев и вопросов. Вот только безопасность, боюсь, совершенно в ином списке. p.s. Печальная ирония с chroot в том, что имея это средства на руках уже десятки лет, поголовное большинство демонов в современной системе продолжает запускаться в общем файловом пространстве. Смешно ожидать, что мы будем (правильно) использовать значительно более сложные вещи в лице SELinux, а теперь и контейнеры, когда мы не "осилили" такую банальность, как chroot (который решал бы 95% всех проблем в случае эксплуатации уязвимости демона злоумышленником).
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	10. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+/–
	Сообщение от Аноним (??) on 09-Май-15, 05:23
	Ага, это системд оказывается виноват в том что Docker хреново симлинки обрабатывает :) На самом деле он виноват только тем что еще не зохавал всех конкурентов, впилив базовую систему деплоя и запуска контейнеров в системд в полном варианте :)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	12. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+/–
	Сообщение от Аноним (??) on 09-Май-15, 05:51
	> Детские болезни, со временем пройдут. Детские - да. а болезни - нет.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	14. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+/–
	Сообщение от Michael Shigorin (ok) on 09-Май-15, 07:21
	> Детские болезни, со временем пройдут. Зависит от того, учится ли команда хотя бы на своих ошибках из того, за что в багтраке полоскали ещё в девяностые, или нет (как вечная пионерия жумлы, например). Но уже после предыдущих именно детских ляпов отложил рассматривание дыркера ещё на пару лет... PS re #7: ну или на ovz, у которого (точнее, у vz) болячки были совсем другого плана и вроде как наконец сходит и самая застарелая фундаментальная.  Правда, он всё-таки под сервер заточен.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	–2 +/–
	Сообщение от Michael Shigorin (ok) on 09-Май-15, 07:27
	> p.s. Печальная ирония с chroot в том, что имея это средства на > руках уже десятки лет, поголовное большинство демонов в современной системе > продолжает запускаться в общем файловом пространстве. Посмотрите на Owl или ALT, загляните в http://git.altlinux.org/people/ldv/packages/?p=chrooted.git (инструмент автоматизации создания/обновления минимальных чрутов). Только без грамотного сброса привилегий чрут может неожиданно превратиться в вычрут.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	16. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+1 +/–
	Сообщение от Аноним (??) on 09-Май-15, 08:47
	Как показывает опыт proftpd и sendmail такие болезни с возрастом только прогрессируют. Если изначально было наплевательское отношение к безопасности, то со временем мало что меняется, так как полностью всё с нуля как надо переписать ни у кого рука не поднимается.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	21. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	+2 +/–
	Сообщение от orgkhnargh (ok) on 09-Май-15, 11:40
	Ну пользуйся виртуалками тогда. Никто ж не заставляет docker использовать.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	22. "Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H..."	–1 +/–
	Сообщение от crypt (ok) on 09-Май-15, 22:09
	> Но уже после предыдущих именно детских ляпов отложил рассматривание дыркера ещё на > пару лет... Пожалуй прислушаюсь к этому мнению и поступлю также. Хе!) Дыркер:)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема