https://www.opennet.ru/openforum/vsluhforumID3/96420.html В cистеме управления контейнерной виртуализацией Docker выявлена (http://seclists.org/oss-sec/2014/q2/565) уязвимость, позволяющая выйти за пределы изолированного контейнера. Проблема устранена в релизе Docker 1.0, но присутствует в выпусках до 0.11 включительно. Для проверки наличия проблемы подготовлен прототип эксплоита (http://stealth.openwall.net/xSports/shocker.c), позволяющий из контейнера прочитать любой файл хост-системы. Кроме Docker проблеме могут быть подвержены и другие системы контейнерной виртуализации, использующие инструменты, подобные LXC.<br><br><br>Техника эксполуатации основана на обращении в внешним файлам через прямой доступ к inode, которые остаются видимыми в контексте всей файловой системы после прикрепления части данной ФС через "mount --bind". Полагая, что inode 2, как правило, связан с корнем, осуществляется последовательный перебор всех inode, пока не найдётся inode, ссылающийся на нужный файл. Проблеме также подвержены системы, в которых используются снапшоты, субразделы, chroot и сп https://www.opennet.ru/openforum/vsluhforumID3/96420.html#37 Sat, 21 Jun 2014 11:55:24 GMT *bsd !<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#36 Sat, 21 Jun 2014 09:50:53 GMT &gt;получай, nobrainer: https://lwn.net/Articles/341773/<br><br>Я конечно понимаю, что у таких кукаретиков как ты, проблемы с чтением, но<br>в приведенном тобой линке идет речь про баг в ядре, который затрагивает<br>целый ряд его внутренних подистем безопастности и НЕ ЯВЛЯЕТСЯ SELinux СПЕЦИФИЧНЫМ.<br><br>Короче дорога тебе одна, в биореактор.<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#35 Sat, 21 Jun 2014 05:23:47 GMT Хотя всё равно не уязвимость, как здесь уже замечалось... :-)<br>(контейнеры не предотвращают подобного рода доступ).<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#34 Sat, 21 Jun 2014 05:01:06 GMT Зачем вообще нужны хэндлы файлов?<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#33 Sat, 21 Jun 2014 01:23:20 GMT &gt; Саккез стори нету.<br><br>Так это то и хорошо :). Потому что обычно их пишут хаксоры которым удалось прорубиться в систему :). А когда все просто работает - какое там success story?<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#32 Sat, 21 Jun 2014 01:19:24 GMT &gt; docker дырявый, linux дырявый, qubesos Рутковской на xen'e который тоже дырявый. Как <br>&gt; дальше жить?<br><br>Выкопать бункер на километровой глубине. И никакой электроники. Даже счеты лучше выбросить. На всякий случай.<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#31 Sat, 21 Jun 2014 01:17:58 GMT &gt; Там всё на других механизмах сляпано, всё!<br><br>IIRC идея была в том чтобы максимально переехать на услуги майнлайнового ядра, дописывая только то чего не хватило.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#30 Sat, 21 Jun 2014 01:11:59 GMT &gt; Пруф, или небыло.<br><br>Посмотри исходники любого боевого сплойта на повышение прав и т.п. - там обычно вынос SELinux (а иногда и иных систем, e.g. AppArmor-а) первым делом прописаны, чтобы под ногами не мешался.<br><br>Но если тебе мало - получай, nobrainer: https://lwn.net/Articles/341773/ - там подробно изложено что хаксоры думают про SELinux. И это мнение не самое вкусное. По факту SELinux в этом эксплойте ПОМОГАЛ поиметь систему :D.<br><br>А вот настраивать эту хреноту от АНБ очень геморно. Ну АНБ оно понятно зачем - у них там вполне конкретный регламент доступа к документам и внутренние процедуры требуют мандатный контроль. Если в системе нет мандатного контроля - они не будут системой пользоваться. А вот зачем всем остальным этот кластерфак при таком соотношении затрат усилий к результату - загадка природы. Над ними то регламент предписывающий копать от забора и до обеда не висит...<br> https://www.opennet.ru/openforum/vsluhforumID3/96420.html#29 Sat, 21 Jun 2014 01:00:34 GMT &gt; &#8230;тщательно документируют их и приводят несколько workaround'ов в печатном руководстве <br>&gt; пользователя.<br><br>А настоящий энтерпрайз делает как-то так: http://www.opennet.ru/opennews/art.shtml?num=40045<br>