Обновление Docker 1.3.2 с устранением критических уязвимостей

25.11.2014 11:54

Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.3.2, в котором устранены две уязвимости, статус которых отмечен как критически опасный:

CVE-2014-6407 - возможность извлечения файлов из контейнера в произвольную часть ФС хост-системы при выполнении команд "docker pull" или "docker load". Уязвимость вызвана некорректной обработкой жестких и символических ссылок в коде извлечения данных из образа контейнера. При успешной организации атаки возможно инициирование выполнения кода на стороне хост-системы и повышение своих привилегий. Проблема проявляется во всех версиях Docker, до выпуска Docker 1.3.2, в который добавлены дополнительные проверки и задействовано chroot-окружение при извлечении данных.
CVE-2014-6408 - создатель образов может обойти ограничения, заданные для выполнения изолированного контейнера. Проблема проявляется только в выпусках 1.3.0 и 1.3.1, и может привести к выходу за пределы контейнера. Причиной является предоставление создателю образа возможности привязки опций безопасности к образам, что может быть использовано для изменения профиля безопасности по умолчанию для контейнеров, построенных с использованием данных образов.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/41124-docker

Ключевые слова: docker

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (14)

1.4, iZEN (ok), 12:54, 25/11/2014 [ответить] [﹢﹢﹢] [ · · · ]	–11 +/–
В Jail эти детские проблемы давно решены.

2.5, Аноним (-), 13:13, 25/11/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Jail можно скинуть на другую машину ?

3.9, iZEN (ok), 14:45, 25/11/2014 [^] [^^] [^^^] [ответить]	–2 +/–
> Jail можно скинуть на другую машину ? Простым копированием по NFS.

4.12, Аноним (-), 15:35, 25/11/2014 [^] [^^] [^^^] [ответить]	+/–
без остановки?

5.15, Вася лодочник (?), 17:19, 25/11/2014 [^] [^^] [^^^] [ответить]	+/–
да, с прямыми руками

5.16, Аноним (-), 17:19, 25/11/2014 [^] [^^] [^^^] [ответить]	+/–
Да вот видео http://www.7he.at/freebsd/vps/docs/demo_2012.mp4 А вот патч http://www.7he.at/freebsd/vps/

6.19, Аноним (-), 22:26, 25/11/2014 [^] [^^] [^^^] [ответить]	+/–
Ух ты! А я как то пропустил что таки допилили - спасибо!

5.22, iZEN (ok), 16:05, 30/11/2014 [^] [^^] [^^^] [ответить]	+/–
https://www.linux.org.ru/forum/admin/10850758

2.13, Аноним (-), 15:39, 25/11/2014 [^] [^^] [^^^] [ответить]	+5 +/–
Только есть пара нюансов: 1. Ты понятия не имеешь как работает Jail (жабист же) 2. Ты понятия не имеешь как работает Docker и почему это не то же самое, что и Jail 3. Docker лишь на 1% похож на Jail

2.14, Аноним (-), 16:59, 25/11/2014 [^] [^^] [^^^] [ответить]	+1 +/–
В новости речь идёт о _создании_ контейнера, а не его эксплуатации. Jail можно так же не безопасно _создать_ и эта проблема не решена никак.

1.6, Аноним (-), 13:39, 25/11/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
почему новостей про очередное обновление докера так мало, ежели у меня из OBS каждый день новый докер прилазит?

1.11, softfire (?), 15:30, 25/11/2014 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Сырой еще.

2.20, vn971 (ok), 21:37, 28/11/2014 [^] [^^] [^^^] [ответить]	+/–
Был сырой, есть сырой и бу... Ой, простите. Хотел просто сказать что они не позиционируют свою наработку как инструмент безопастности. Скорее быстрая развёртка приложений (aufs), шарилка конфигов (index.docker.io) и т.д.

3.21, Аноним (-), 16:10, 29/11/2014 [^] [^^] [^^^] [ответить]	+/–
Безопасность тут и не нужна по определению софта.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: