The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера"  +/
Сообщение от opennews (??), 20-Май-21, 22:31 
В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, выявлена уязвимость (CVE-2021-30465), позволяющая  получить доступ из контейнера к основной файловой системе хост-окружения. Через манипуляции с символическими ссылками можно подготовить на вид безобидную конфигурацию контейнера, которая приведёт к bind-монтированию внешней ФС внутри контейнера. Проблема устранена в обновлении runc 1.0.0-rc95...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55180

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +14 +/
Сообщение от Аноним (1), 20-Май-21, 22:31 
Я думал, GO защищён от таких ошибок, иначе чем он лучше PHP?
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +1 +/
Сообщение от Леголасemail (ok), 21-Май-21, 11:47 
всё сорта одного
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +7 +/
Сообщение от Аноним (2), 20-Май-21, 22:33 
Вот если бы писали на безопасном Си, а не на этой смузихлебной поделки то уязвимостей бы небыло
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +5 +/
Сообщение от Аноним (1), 20-Май-21, 22:36 
Ты вероятно прав кстати, проблема достаточно классическая с точки зрения разработки на си.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +1 +/
Сообщение от СССР (?), 21-Май-21, 01:54 
Да Си тоже не не выход, просто така тенденция у программистов иметь кривожопые руки. все проще все хайпово должно быть у современников.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

23. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –1 +/
Сообщение от richman1000000 (ok), 21-Май-21, 07:51 
К сожалению, вы правы.
Я на работе вижу эту криоврукость каждый день...
Но тут наверно не криворукость, а лень больше играет
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от заминированный тапок (ok), 21-Май-21, 11:01 
лень учиться делать правильно ?
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Аноним (46), 25-Май-21, 17:38 
>лень учиться делать правильно ?

Не всегда, есть еще вариант, много где к тому же - "надо на вчера" (c)

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от заминированный тапок (ok), 25-Май-21, 20:49 
>>лень учиться делать правильно ?
> Не всегда, есть еще вариант, много где к тому же - "надо
> на вчера" (c)

https://i.imgur.com/HTXZNei.png

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Жироватт (ok), 21-Май-21, 14:23 
Не. Тут тенденция удешевления найма работников умственного труда.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

25. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от виндотролль (ok), 21-Май-21, 07:57 
Конечно, ведь нет поделки - нет уязвимости. К 2022 дописали бы.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +2 +/
Сообщение от Аноним (3), 20-Май-21, 22:35 
Выходит прав был сой коллега, что докер пишут !@$$%&.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +5 +/
Сообщение от Аноним (5), 20-Май-21, 22:41 
Добро пожаловать в реальный мир, Нео.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –4 +/
Сообщение от виндотролль (ok), 21-Май-21, 08:02 
Я бы даже взял шире, в основном только такие и пишут на го. Да и сам го в основном такие пишут.

Потому очень мало толковых проектов на этом языке.

Но зато вот таких разработчиков больше, чем толковых, потому всегда найдутся писатели кода, и потому оно все быстрее разрабатывается.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

35. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +1 +/
Сообщение от Аноним (35), 21-Май-21, 11:45 
Слишком толсто
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –2 +/
Сообщение от виндотролль (ok), 21-Май-21, 14:33 
> Слишком толсто

если ты о гошном рантайме, то да

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от А (??), 21-Май-21, 21:03 
Его уже написали... Он в прошлом.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +5 +/
Сообщение от Аноним (-), 20-Май-21, 23:18 
Я чета не проникся идеей докерства - ну вот вроде установил его завел контейнеры для разработки php mysql apache, вроде работает, но зачем мне это? К тому же там какойто цирк с отображением/поиском/управлением версиями образов.
Вернулся к нативно установленным пакетам.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –2 +/
Сообщение от Аноним (8), 20-Май-21, 23:22 
Неасилил указать тег?
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Аноним (-), 21-Май-21, 10:40 
Ну вот например какой командой мне посмотреть доступные к загрузке (pull) версии php?

Я делаю docker search php мне выводится список без версий.

Далее делаю docker images --all
и он мне пишет
php 7.4.7  b73215b5e2cc 11 months ago
php latest b73215b5e2cc 11 months ago

Зачем он мне врёт что php 7.4.7 это latet?

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –1 +/
Сообщение от Admenestrator (?), 20-Май-21, 23:23 
Ты просто не осилил, на самом деле это супе удобно.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –3 +/
Сообщение от Нек (?), 20-Май-21, 23:30 
Главное преимущество докера в поставке готовых образов на прод, а не для разработки
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

18. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от СССР (?), 21-Май-21, 02:03 
вот и я, зачеал на ютубе несколько видосов где в подробностях обясняют для чего и как готовится, попробовал, запустил, потыкал попользовался, и думаю, а к чему этот докер. в чем сложность написать скриты установки на том же питоне. так же можно создать виртуалку на kvm и там так же все теми же скриптами. а можно и саму виртуалку создавать автоматически и туда заливать все что нужно.
Ну прям вот кейс, мне нужно быстро установить постгрес, QT ну и библиотеку libssh. вот предположем что руками если делать то я прям устану устану, а докером вот просто щелкну палцем и вуаля, и я такой счастливый. И вопрос , а как часто тебе необходимы разлиные конфигурации?
все это похоже на очередную модную дичь.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +3 +/
Сообщение от abu (?), 21-Май-21, 03:26 
Да. Дичь, нужная для определенных случаев, но не для каждой бочки затычка, как ее пытаются который год подавать.

Щелкать пальцами, применяя докер, можно при условии, если сценарии сборок писали вменяемые люди в нормальных проектах. Но такое бывает далеко не всегда либо - писатели-то вменяемые, но всего не предусмотришь. Либо - написали, а через год свалили. И тогда все равно приходится лезть и править самому. А раз приходится править, а чаще - с нуля писать эту всю басню, то сразу куда-то пропадает легкость бытия и щелкание, а появляется мысль - =а к чему этот докер. в чем сложность написать скрипты установки на том же питоне=.

Отдельное щелкание пальцами - администрирование всего этого богатства бахромы. А ведь еще есть и Docker in Docker (:

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от hefenud (ok), 21-Май-21, 07:35 
Докер хорош в одном, он удобен в CI/CD. Что бы у тебя всегда была чистая виртуалка в которую берем все свежие зависимости для сборки и там собираем, а потом образ дропаем

Так ты получаешь всегда сборку сделанную в чистой среде и со всеми обновлениями безопасности
Вот для этого чертовски удобно

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

24. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +1 +/
Сообщение от richman1000000 (ok), 21-Май-21, 07:55 
увы и ах.
Пользуюсь докером в продакшине и считаю что пихать его всюду и визде - дибилизм.
Его нужно применять по назначению.
докер в CI/CD - для разработки, пожалуйста.
А вот в продакш будьте добры - на обычную виртуалку ставить.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +1 +/
Сообщение от Аноним (32), 21-Май-21, 10:53 
Стандартный кейс - установка устаревшего ПО, либо самого нового, либо . Самый хороший пример - java приложения. Когда-то была отличная репа "ppa:webupd8team/java", но она приказала долго жить. Потому что оракл снова ввел ограничения. А докер - отличное решение для развертывания в таких случаях.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +8 +/
Сообщение от нах.. (?), 21-Май-21, 09:33 
Внезапно, чтобы была виртуалка - вполне достаточно использовать - виртуалку. Чтобы она была чистой - использовать golden images и снапшоты с автоочисткой.
Что мы и делали за десять лет до появления ненужно-доскеров.
И (будь та лавка до сих пор жива) делали бы посейчас, поскольку если для тестирования тебе нужно проверять что система доступна в том числе с виндовых клиентов - никакой доскер тут не поможет.

Единственное, для чего необходим доскер - для подметания мусора за современными разработчиками и средствами разработки, тащащими все в хомяк прямо с гитхапа и гитляпа, без разбора, версия "всегда последняя".

Он позволяет все это аккуратно соскрести с диска разработчика, и водрузить на прод ровно в таком виде, в каком этот альтернативно-одаренный кое-как добился что оно "запускается". Ни о какой воспроизводимости сборки речь при этом не идет - оно каждые пять секунд новое. Образ позволяет откатиться на не настолько новое, которое еще не было поломано. И это, повторяю, единственная его ценность.

Все остальное обеспечивает виртуализация, средства изоляции системы и пакетные менеджеры, особо неосиленные разработчиками модных-современных поделок (в принципе, я их понимаю, ни винда, ни бубунточка которые они так обожают, иногда обе сразу - не позволяют научиться делать это нормально с небольшими трудозатратами)

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

45. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +2 +/
Сообщение от Онаним (?), 22-Май-21, 10:01 
Лучше и не скажешь, наверное.
Яростно плюсую.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Аноним (32), 21-Май-21, 11:00 
> Я чета не проникся идеей докерства - ну вот вроде установил
> его завел контейнеры для разработки php mysql apache, вроде
> работает, но зачем мне это?

Ну, если у тебя половина разработчика - то да, можно и без докера. Но когда у тебя их человек 5 минимум, постоянно выкатывающих ревью, ты будешь через ансиблу костылить?

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

43. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от А (??), 21-Май-21, 21:06 
Оно предназначено для другого и попытка использовать вместо ВМ не к месту.

Оно для одноразовых коротких процессов, где нужно дропать изменения в системе на выходе. Часто и много.

Цирка с версионированием нет. Это делается в др. месте др. тулами.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +2 +/
Сообщение от Аноним (11), 21-Май-21, 00:18 
Где то плачет одинокий Rust с сишными дыренями
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +4 +/
Сообщение от Rev (?), 21-Май-21, 00:18 
Мне, как разработчику, было бы стыдно собирать 95-й релиз кандидат.
А им как будто нормально :(
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Anonymousqwe (?), 21-Май-21, 01:06 
Если у них релиз на каждый комит и весь прусе давно автоматизирован, то никто даже не думает собирать релиз, или нет.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Anonymousqwe (?), 21-Май-21, 01:07 
*процесс
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +4 +/
Сообщение от Аноним (13), 21-Май-21, 01:02 
Не понял, уже тринадцатый комментарий, а где шутка про то, что буква S в имени Docker значит Security?
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от нах.. (?), 21-Май-21, 01:17 
ну вон в k8s есть нужная тебе буква (без него или какой другой автоматики эксплойт невозможен или бессмысленнен) - и что, легче тебе стало?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от псевдонимус (?), 21-Май-21, 02:50 
Сколько уязвимостей за год выявили в изолированных от здравого смысла контейнерах?

Дефективно изначально.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Аноним (29), 21-Май-21, 08:30 
докер тоже хочет свободы
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –2 +/
Сообщение от миша_шигорин_и_его_любезный_друг_эм_си (?), 21-Май-21, 04:45 
и не переполнение и не указатели. но сисичники радуются.. а чё радуются? - на сисях нельзя проблемы с симлинками огрести? а может всё дело в сисисной реализации kvm в лялихе? - глядишь, еслибы лялих делали на нормальном языке и думали о безопасности, а не об указателях и памяти, то и небыло бы этих проблем. так что, однозначно всё нужно перепейсывать на D
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –1 +/
Сообщение от bi brother (?), 21-Май-21, 08:13 
Ну, на "переполнение":
https://nvd.nist.gov/vuln/detail/CVE-2020-25574

На "указатели":
https://nvd.nist.gov/vuln/detail/CVE-2021-25903

Полегчало? :-D

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  –3 +/
Сообщение от Аноним (28), 21-Май-21, 08:22 
Хех. Так и знал, Сейчас зайду и местные старожилы будут ругать, го, доккер, кубер, да и вообще все, что новее 2015 года. Новые технологии не нужны)
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +2 +/
Сообщение от Мяус (?), 21-Май-21, 13:02 
Нужны, проект suckless или gnu parallel, например, да хотя бы та система развертывания для bsd. А вот то, у чего нет манов, и на странице чего красуется кнопочка pricing, к которой из каждого утюга манят - не нужно.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Мертвец (?), 21-Май-21, 14:13 
>да хотя бы та система развертывания для bsd

Да, CBSD таки рулит!

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от YetAnotherOnanym (ok), 21-Май-21, 13:10 
Конечно, технология, в которой контейнер прибивается после того, как запущенный в нём серверный процесс демонизируется - это очень нужная штука, ага.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

48. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Аноним (48), 26-Май-21, 20:58 
Docker и Kubernetes

Этим всё сказано

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в runc, позволяющая получить доступ к ФС вне конт..."  +/
Сообщение от Аноним (48), 26-Май-21, 20:59 
Хааааааааааааа

ещё один убийцы C/C++ - go

Бугага

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру