The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +/
Сообщение от opennews (ok) on 13-Янв-17, 11:34 
В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена (http://seclists.org/oss-sec/2017/q1/54) опасная уязвимость (https://bugzilla.redhat.com/show_bug.cgi?id=1409531) (CVE-2016-9962 (https://security-tracker.debian.org/tracker/CVE-2016-9962)), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой (https://github.com/opencontainers/runc/commit/50a19c6ff828c5...) в
runtime  runC (http://runc.io/), который используется по умолчанию начиная с ветки Docker 1.11 (https://www.opennet.ru/opennews/art.shtml?num=44246), и также применяется (https://coreos.com/blog/cve-2016-9962.html) в некоторых других системах

RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных  через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена (https://www.opennet.ru/opennews/art.shtml?num=45573) в ноябре в инструментарии LXC.


URL: http://seclists.org/oss-sec/2017/q1/54
Новость: http://www.opennet.ru/opennews/art.shtml?num=45848

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  –1 +/
Сообщение от hoopoe email(ok) on 13-Янв-17, 11:34 
не очень понятно: user space библиотека управляет доступом из контейнера? а что помешает выполнить аналогичный код в другой библиотеке? или она работает вне контейнера?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +/
Сообщение от sage (??) on 15-Янв-17, 11:44 
Она работает вне контейнера, но дает возможность приложениям, выполняемым в контейнере, которые были запущены через эту утилиту, выполнить ptrace на эту утилиту.
В общем, уязвимость опасна только в том случае, если кто-то сперва модифицировал контейнер, добавив в него вредоносный код в программы, которые вы запускаете через exec, а потом дождался, когда вы выполните exec.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +16 +/
Сообщение от Аноним (??) on 13-Янв-17, 12:33 
Снова демоны вылазят из контейнеров...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  –1 +/
Сообщение от iZEN (ok) on 14-Янв-17, 16:54 
Как чертёнок из табакерки.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  –1 +/
Сообщение от Ванга on 13-Янв-17, 14:25 
Только новая архитектура позволит преодолеть слабую изоляцию приложений.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +3 +/
Сообщение от Пользователь Debian on 13-Янв-17, 14:50 
Шлите патчи в Hurd
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  –1 +/
Сообщение от Celcion (ok) on 13-Янв-17, 16:06 
"Выбраться из контейнера" - это зачет. Как представлю себе "уязвимость, выбирающуюся из контейнера" - так портится сон и аппетит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +/
Сообщение от Аноним (??) on 14-Янв-17, 10:36 
На твоём вантузе? Не смеши.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +3 +/
Сообщение от Аноним (??) on 13-Янв-17, 16:06 
Кто-то действительно использует Docker для изоляции потенциально опасных приложений? Он же не для того нужен. Повышение безопасности - побочный эффект и я бы не стал на него всерьёз рассчитывать в отношении зловредов. От запуска rm -rf / защитит и ладно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  –3 +/
Сообщение от Michael Shigorin email(ok) on 13-Янв-17, 17:33 
http://www.opennet.ru/openforum/vsluhforumID3/108659.html#131

PS: в смысле "дыркер".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  –4 +/
Сообщение от Вы забыли заполнить поле Name on 14-Янв-17, 16:49 
go? безопасность? Не, не слышал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В Docker 1.12.6 устранена уязвимость, позволяющая выбраться ..."  +/
Сообщение от Аноним (??) on 14-Янв-17, 18:50 
Правда данная уязвимость не эксплуатируется на системах с настроенным selinux.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру