https://slinkov.ru/openforum/vsluhforumID3/116551.html В runc (https://github.com/opencontainers/runc), инструментарии для запуска изолированных контейнеров, выявлена (https://seclists.org/oss-sec/2019/q1/119) критическая уязвимость (CVE-2019-5736 (https://security-tracker.debian.org/tracker/CVE-2019-5736)), позволяющая из подготовленного злоумышленником изолированного контейнера подменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak (https://github.com/flatpak/flatpak/releases/tag/1.2.3). Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.<br><br><br>Суть (https://www.redhat.com/en/blog/it-starts-linux-how-red-hat-helping-counter-linux-container-security-flaws) уязвимости в возможности запуска исполняемого файла runc внутри контейнера, но его исполнения в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт, вызы https://slinkov.ru/openforum/vsluhforumID3/116551.html#93 Thu, 14 Feb 2019 21:51:31 GMT &gt; Наверное именно потому везде пихают аппармор и селинукс.<br>&gt; Конечно, легко ошибиться и наделать дыр<br><br>Вот поэтому и ставят. Никогда не знаешь, где найдут очередную уязвимость. Удаленное исполнения кода и повышение привелегий случалось и доконтейнерную эпоху.<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#92 Thu, 14 Feb 2019 20:59:31 GMT Наверное именно потому везде пихают аппармор и селинукс.<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#91 Thu, 14 Feb 2019 19:44:41 GMT &gt; "как прибили, так и держится". В смысле - чего клиент требует, из <br>&gt; того куличик и слепим. Клиентов требующих не из дерьма и палок <br>&gt; и способных за это заплатить - у меня, к сожалению, на <br>&gt; горизонте нет. А и появятся - не возьмусь. Клиент не <br>&gt; вечен (даже если это какой-нибудь netflix), а строчка в резюме "построил <br>&gt; Тадж-Махал в натуральную величину на freebsd" не принесет нынче успеха у <br>&gt; следующих работодателей. В отличие от известной субстанции, и можно даже в <br>&gt; масштабе 1:10000, но непременно на 1000 инстансов.<br><br>Потом сознания?<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#90 Thu, 14 Feb 2019 19:42:55 GMT &gt; это ты на б-жественную десяточку намекаешь? Не советую, instant karma может настичь: <br>&gt; http://bash.org/?163301 <br><br>У кого что болит. Сочувствую тебе.<br><br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#89 Wed, 13 Feb 2019 22:23:30 GMT &gt; чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машину<br><br>аминь, брат<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#88 Wed, 13 Feb 2019 19:59:32 GMT Тогда верно И это похо<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#87 Wed, 13 Feb 2019 19:51:31 GMT &gt;&gt;работает одно ядро на всё - хост и контейнеры.<br>&gt; Еси ты про процессорное ядро то ты не прав <br><br>Ещё про пушечное ядро скажи. Про kernel речь - https://en.wikipedia.org/wiki/Kernel_(operating_system)<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#82 Wed, 13 Feb 2019 15:54:10 GMT &gt;&gt;банальный chroot пользователям недоступен <br>&gt; Вот и именно! "Настоящий" (хостовый) рут дожен быт доступен токо админу хоста <br>&gt; В бсдовых жайах это можно обеспечит через джай в джайе не <br>&gt; стесняя при этом разработчика в современных lинуксовых "контейнерах" (какое говорящее <br>&gt; название сразу возникает ассоциация с мусором) как видиsh <br><br>вот это вы упрямые. Рут в контейнере не обязательно равне руту в хосте! И если это так (а обычно на продакшнах это так), но уязвимость не проявляется.<br> https://slinkov.ru/openforum/vsluhforumID3/116551.html#81 Wed, 13 Feb 2019 15:52:43 GMT &gt; докер - программа, работающая от рута, причем с максимально широкими правами - <br>&gt; всякие аппарморы и группы в панике разбегаются, давая уроду дорогу. А <br>&gt; управление ей ты дал левому васяну, как только добавил его в <br>&gt; группу имеющих право доступа к сокету, ему больше вообще ничего уже <br>&gt; в этой жизни не надо, точнее, он сам себе все возьмет, <br>&gt; что только захочет.<br><br>да ладно? Даже если в ответ демон делает fork() и setuid()?<br><br>Даже традиционной системы привилегий достаточно, чтоб сделать все безопасно. Конечно, легко ошибиться и наделать дыр. Но сделать безопасно можно.<br><br>И еще раз, проблема проявляется в привелегированных контейнерах. Т.е. таких, где рут внутри == руту в хосте.<br>