OpenForum RSS: Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... https://opennet.me/openforum/vsluhforumID3/102470.html Представлен (http://openwall.com/lists/oss-security/2015/05/07/10) внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.6.1, в котором устранены четыре уязвимости, каждая из которых позволяет выполнить операции с повышенными привилегиями при обработке специально оформленных образов контейнеров или файлов Dockerfile. Пользователям рекомендуется запускать только собственные образы или образы, полученные из заслуживающих доверия источников. <br><br><br>Проблема CVE-2015-3629 связана с некорректной обработкой символических ссылок и позволяет перезаписать файл на стороне хост-системы в момент запуска контейнера. Проблема CVE-2015-3627 вызвана открытием файлового дескриптора с номером 1 до вызова chroot. Проблема CVE-2015-3630 вызвана возможности чтения/записи в псевдо-ФС /proc, что позволяет манипулировать параметрами хост-системы через пути proc/asound, /proc/timer_stats, /proc/latency_stats и /proc/fs. Проблема CVE-2015-3631 возникла из-за возможности использования содержимого /proc в качестве т Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (crypt) https://opennet.me/openforum/vsluhforumID3/102470.html#22 Sat, 09 May 2015 19:09:40 GMT &gt; Но уже после предыдущих именно детских ляпов отложил рассматривание дыркера ещё на <br>&gt; пару лет...<br><br>Пожалуй прислушаюсь к этому мнению и поступлю также. Хе!) Дыркер:)<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (orgkhnargh) https://opennet.me/openforum/vsluhforumID3/102470.html#21 Sat, 09 May 2015 08:40:08 GMT Ну пользуйся виртуалками тогда. Никто ж не заставляет docker использовать.<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Аноним) https://opennet.me/openforum/vsluhforumID3/102470.html#16 Sat, 09 May 2015 05:47:02 GMT Как показывает опыт proftpd и sendmail такие болезни с возрастом только прогрессируют.<br>Если изначально было наплевательское отношение к безопасности, то со временем мало что меняется, так как полностью всё с нуля как надо переписать ни у кого рука не поднимается.<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Michael Shigorin) https://opennet.me/openforum/vsluhforumID3/102470.html#15 Sat, 09 May 2015 04:27:01 GMT &gt; p.s. Печальная ирония с chroot в том, что имея это средства на <br>&gt; руках уже десятки лет, поголовное большинство демонов в современной системе<br>&gt; продолжает запускаться в общем файловом пространстве.<br><br>Посмотрите на Owl или ALT, загляните в http://git.altlinux.org/people/ldv/packages/?p=chrooted.git (инструмент автоматизации создания/обновления минимальных чрутов).<br><br>Только без грамотного сброса привилегий чрут может неожиданно превратиться в вычрут.<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Michael Shigorin) https://opennet.me/openforum/vsluhforumID3/102470.html#14 Sat, 09 May 2015 04:21:10 GMT &gt; Детские болезни, со временем пройдут.<br><br>Зависит от того, учится ли команда хотя бы на своих ошибках из того, за что в багтраке полоскали ещё в девяностые, или нет (как вечная пионерия жумлы, например).<br><br>Но уже после предыдущих именно детских ляпов отложил рассматривание дыркера ещё на пару лет...<br><br>PS re #7: ну или на ovz, у которого (точнее, у vz) болячки были совсем другого плана и вроде как наконец сходит и самая застарелая фундаментальная. Правда, он всё-таки под сервер заточен.<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Аноним) https://opennet.me/openforum/vsluhforumID3/102470.html#12 Sat, 09 May 2015 02:51:13 GMT &gt; Детские болезни, со временем пройдут.<br><br>Детские - да. а болезни - нет.<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Аноним) https://opennet.me/openforum/vsluhforumID3/102470.html#10 Sat, 09 May 2015 02:23:17 GMT Ага, это системд оказывается виноват в том что Docker хреново симлинки обрабатывает :)<br><br>На самом деле он виноват только тем что еще не зохавал всех конкурентов, впилив базовую систему деплоя и запуска контейнеров в системд в полном варианте :)<br> Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Аноним) https://opennet.me/openforum/vsluhforumID3/102470.html#9 Fri, 08 May 2015 23:07:02 GMT &gt; Какой смысл во всей этой изоляции, когда в Docker чуть ли не <br>&gt; каждый месяц дыры находят, позволяющий выйти за пределы контейнера? Причем дыры <br>&gt; именно в Docker, а не в частях ядра, через которые эта <br>&gt; изоляция делается. Старый-добрый chroot процесса со сбросом привилегий, IMHO, и то <br>&gt; надёжнее всей этой новомодной автоматизации.<br><br>Верно подмеченно. Глядя на подобные уязвимости, мне постоянно вспоминаются слова Тео де Раадта касающиеся вопроса виртуализации и обеспечение ею безопасности (к слову, это его выражение часто принимают за его общее отношение к виртуализации, против, которой он ничего не имеет.. если её не пытаются "рекламировать", как средство безопасности). В вольном переводе оно звучит так: "виртуализация, на практике, ещё один слой поверх уже существующей ОС. Вы, должно быть, ненормальный, если считаете, что разработчики программного обеспечения которые сегодня не в состоянии писать программное обеспечение без уязвимостей, ВНЕЗАПНО, возьмут и начнут писать вам столь сложную штуку, как Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red H... (Аноним) https://opennet.me/openforum/vsluhforumID3/102470.html#8 Fri, 08 May 2015 22:39:38 GMT &gt; всё благодаря системды <br><br>щито? и докер, и рокет нормально без неё работают<br>