В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена (http://seclists.org/oss-sec/2017/q1/54) опасная уязвимость (https://bugzilla.redhat.com/show_bug.cgi?id=1409531) (CVE-2016-9962 (https://security-tracker.debian.org/tracker/CVE-2016-9962)), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой (https://github.com/opencontainers/runc/commit/50a19c6ff828c5...) в
runtime  runC (http://runc.io/), который используется по умолчанию начиная с ветки Docker 1.11 (https://www.opennet.ru/opennews/art.shtml?num=44246), и также применяется (https://coreos.com/blog/cve-2016-9962.html) в некоторых других системах

RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных  через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена (https://www.opennet.ru/opennews/art.shtml?num=45573) в ноябре в инструментарии LXC.

URL: http://seclists.org/oss-sec/2017/q1/54
Новость: https://www.opennet.ru/opennews/art.shtml?num=45848