The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Docker 1.3.2 с устранением критических уязвимостей

25.11.2014 11:54

Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.3.2, в котором устранены две уязвимости, статус которых отмечен как критически опасный:

  • CVE-2014-6407 - возможность извлечения файлов из контейнера в произвольную часть ФС хост-системы при выполнении команд "docker pull" или "docker load". Уязвимость вызвана некорректной обработкой жестких и символических ссылок в коде извлечения данных из образа контейнера. При успешной организации атаки возможно инициирование выполнения кода на стороне хост-системы и повышение своих привилегий. Проблема проявляется во всех версиях Docker, до выпуска Docker 1.3.2, в который добавлены дополнительные проверки и задействовано chroot-окружение при извлечении данных.
  • CVE-2014-6408 - создатель образов может обойти ограничения, заданные для выполнения изолированного контейнера. Проблема проявляется только в выпусках 1.3.0 и 1.3.1, и может привести к выходу за пределы контейнера. Причиной является предоставление создателю образа возможности привязки опций безопасности к образам, что может быть использовано для изменения профиля безопасности по умолчанию для контейнеров, построенных с использованием данных образов.


  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Canonical и Docker развивают LXD, гипервизор для изолированных контейнеров (дополнено)
  3. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.3
  4. OpenNews: Раскрыта информация об уязвимости, позволяющей обойти авторизацию на Docker Hub
  5. OpenNews: Red Hat и Docker развивают систему изолированных контейнеров для десктоп-приложений
  6. OpenNews: Выявлена уязвимость, позволяющая выйти за пределы контейнеров Docker
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/41124-docker
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, iZEN (ok), 12:54, 25/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    В Jail эти детские проблемы давно решены.
     
     
  • 2.5, Аноним (-), 13:13, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Jail можно скинуть на другую машину ?
     
     
  • 3.9, iZEN (ok), 14:45, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Jail можно скинуть на другую машину ?

    Простым копированием по NFS.

     
     
  • 4.12, Аноним (-), 15:35, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    без остановки?
     
     
  • 5.15, Вася лодочник (?), 17:19, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    да, с прямыми руками
     
  • 5.16, Аноним (-), 17:19, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да вот видео http://www.7he.at/freebsd/vps/docs/demo_2012.mp4

    А вот патч http://www.7he.at/freebsd/vps/

     
     
  • 6.19, Аноним (-), 22:26, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ух ты! А я как то пропустил что таки допилили - спасибо!
     
  • 5.22, iZEN (ok), 16:05, 30/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.linux.org.ru/forum/admin/10850758
     
  • 2.13, Аноним (-), 15:39, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Только есть пара нюансов:
    1. Ты понятия не имеешь как работает Jail (жабист же)
    2. Ты понятия не имеешь как работает Docker и почему это не то же самое, что и Jail
    3. Docker лишь на 1% похож на Jail
     
  • 2.14, Аноним (-), 16:59, 25/11/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В новости речь идёт о _создании_ контейнера, а не его эксплуатации. Jail можно так же не безопасно _создать_ и эта проблема не решена никак.
     

  • 1.6, Аноним (-), 13:39, 25/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    почему новостей про очередное обновление докера так мало, ежели у меня из OBS  каждый день новый докер прилазит?
     
  • 1.11, softfire (?), 15:30, 25/11/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Сырой еще.
     
     
  • 2.20, vn971 (ok), 21:37, 28/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Был сырой, есть сырой и бу... Ой, простите. Хотел просто сказать что они не позиционируют свою наработку как инструмент безопастности. Скорее быстрая развёртка приложений (aufs), шарилка конфигов (index.docker.io) и т.д.
     
     
  • 3.21, Аноним (-), 16:10, 29/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасность тут и не нужна по определению софта.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру