forum.opennet.ru

"Уязвимость в runc и LXC, затрагивающая Docker и другие систе..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в runc и LXC, затрагивающая Docker и другие систе..."	–1 +/–
Сообщение от виндотролль (ok), 12-Фев-19, 21:16
> Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий. > Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз. 100%? Т.е. докер не запускает pid1 контейнера в неймспейсе с маппингом <uid> 0 ? Я не знаком с докером досконально, но изоляция без user namespace имеет мало смысла, я б предположил, что они это делают. Кто-то из нас не понял суть уязвимости.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в runc и LXC, затрагивающая Docker и другие систе..., opennews, 11-Фев-19, 23:33 [смотреть все]

Давно пора понять, что выполнение чего-либо с правами root в контейнере аналогич, Аноним, 12-Фев-19, 00:16 (3) //
- This attack is only possible with privileged containers since it requires rootpr, Аноним, 12-Фев-19, 00:34 (5) //
  - а по умолчанию контейнер какой , хотел спросить, 12-Фев-19, 01:40 (8) //
    - Смотря кто запускает Если запускает рут или пользователь, который может писать, виндотролль, 12-Фев-19, 03:03 (10)
      - совершенно неважно, кто его запускает, лапочка Потому что на самом деле его запу, нах, 12-Фев-19, 09:52 (21)
        
        gt оверквотинг удален Т е VPS это полноценная изоляция насколько позволяет Sp, хотел спросить, 12-Фев-19, 11:58 (34)
        
        ну как бы побеги из этой изоляции через дырки в виртуальных или паравиртуальных , нах, 12-Фев-19, 12:11 (35)
        
        распечатаю и повешу на стену, lurkr, 13-Фев-19, 13:17 (74)
        
        да может кроме опенвзПереносимост По этой же причине не сдохнет и эектрон, псевдонимус, 12-Фев-19, 13:02 (39)
        
        Вы где видели официально стабильный Openvz на ядра выше 2 6 32 вот вот тру, Аноним, 12-Фев-19, 15:31 (48)
        смешно, но его пилили как раз для управления ресурсами в большей степени, чем дл, нах, 12-Фев-19, 17:56 (55)
        
        я про это собствено и написа, псевдонимус, 12-Фев-19, 19:35 (57)
        
        Потому-что быстрее, памяти жрёт меньше, управление контекстом и нагрузкой предск, RNZ, 13-Фев-19, 09:40 (70)
        
        Еси ты про процессорное ядро то ты не прав , псевдонимус, 13-Фев-19, 13:51 (76)
        
        Ещё про пушечное ядро скажи Про kernel речь - https en wikipedia org wiki Ker, RNZ, 13-Фев-19, 22:51 (87)
        
        Тогда верно И это похо, псевдонимус, 13-Фев-19, 22:59 (88)
        
        И как тогда podman без рута работает по-твоему , Owlet, 12-Фев-19, 12:49 (38)
        100 Т е докер не запускает pid1 контейнера в неймспейсе с маппингом uid 0 , виндотролль, 12-Фев-19, 21:16 (61)
        
        докер - программа, работающая от рута, причем с максимально широкими правами - в, нах, 13-Фев-19, 11:02 (71)
        
        да ладно Даже если в ответ демон делает fork и setuid Даже традиционной сис, виндотролль, 13-Фев-19, 18:52 (81)
        
        Наверное именно потому везде пихают аппармор и селинукс , Аноним, 14-Фев-19, 23:59 (92)
        
        Вот поэтому и ставят Никогда не знаешь, где найдут очередную уязвимость Удален, виндотролль, 15-Фев-19, 00:51 (93)
        
        https docs docker com engine security userns-remap вот жеж Немного не так, ка, виндотролль, 12-Фев-19, 21:29 (62)
        
        Это и ест дыра Незя дават крутится под кем хоче Рут в контейнере не дожен прев, псевдонимус, 12-Фев-19, 23:03 (66)
        
        контейнер для этого неособенно и нужен - достаточно дать права левому юзеру на д, нах, 13-Фев-19, 11:05 (72)
        
        Вот и именно Настоящий хостовый рут дожен быт доступен токо админу хоста В , псевдонимус, 13-Фев-19, 13:31 (75)
        
        вот это вы упрямые Рут в контейнере не обязательно равне руту в хосте И если э, виндотролль, 13-Фев-19, 18:54 (82)
  - Читайте про user namespace я упомянул Безопасность при user namespace не лучше , Аноним, 12-Фев-19, 07:50 (15) //
    - все таки лучше - в частности, вот от этой конкретной беды уберегло бы то что реа, нах, 12-Фев-19, 09:56 (22)
    - При этом проблема не проявляется при корректном использованием пространств имён, Аноним, 12-Фев-19, 09:58 (23)
      - Которые в докере, например, не заюзать нормально из-за кучи ограничений наприме, Аноним, 12-Фев-19, 12:48 (37)
        
        а как же volumes - прошлый век, тру девляпс использует ансибль, всегда модифици, нах, 12-Фев-19, 17:52 (54)
        Можно пример, когда это надо , виндотролль, 12-Фев-19, 21:31 (63)
Красиво , erthink, 12-Фев-19, 00:25 (4)
Ай молодца Сколько всего сразу повалилось Вот это понимаю unix-way Еще бы хром, 4eburashk, 12-Фев-19, 00:42 (6) //
- After some discussion with the systemd-nspawn folks, it appears thatthey aren t , Аноним, 12-Фев-19, 01:12 (7) //
  - Wow, первый положительный коммент относительно systemd Сам пользую systemd-конт, Gannet, 12-Фев-19, 03:20 (11) //
    - Но ведь nspawn - это гораздо удобнее того же LXC , Аноним, 12-Фев-19, 07:21 (13)
      - А микроскоп лучше молотка, ну кто бы спорил Выключите свет они на свет лезут , GentooBoy, 12-Фев-19, 07:40 (14)
- из системд к сожалению никто не хочет код копипастить к себе в инит , Аноним, 12-Фев-19, 02:20 (9)
- Что у вас повалилось Какой вменяемый сидит под рутом, Аноним, 12-Фев-19, 03:39 (12) //
  - Каждый второй хипста с докерком, угу , Онаним, 12-Фев-19, 09:29 (16) //
    - каждый первый, поскольку далеко не все можно запустить с -u, и даже то что в при, нах, 12-Фев-19, 09:43 (19)
Вообще контейнеры - это адовый костыль Был таковым, есть, и будет есть , Онаним, 12-Фев-19, 09:31 (17) //
- Это не костыль Это попытка забивать гвозди микроскопом, а точнее использовать м, Аноним, 12-Фев-19, 11:35 (28) //
  - разделение ресурсов для доверенных приложений неплохо обеспечивает операционная , нах, 12-Фев-19, 11:54 (33) //
    - Хорошо изложил , Клыкастый, 12-Фев-19, 14:06 (43)
  - Вооот Их создаваи дя руёжки ресурсами а не дя безопасности в отичие от тех же бс, псевдонимус, 12-Фев-19, 13:15 (40)
На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру Не У меня runc в, via, 12-Фев-19, 09:45 (20) //
- тебе - пофиг, никому твоя васян-локалхостовая поделка не нужнаА дыра в lxc точно, нах, 12-Фев-19, 10:04 (25) //
  - дыра то в runc , via, 12-Фев-19, 11:18 (26) //
    - нет, в liblxc точно такая же , нах, 12-Фев-19, 11:43 (29)
      - https people canonical com ubuntu-security cve 2019 CVE-2019-5736 htmlЗадевае, via, 12-Фев-19, 13:16 (41)
        
        ну конечно, кто ж у нас эксперты чье мнение по всем вопросам самое главное - пип, нах, 12-Фев-19, 17:50 (53)
  - Но ведь они абсолютно правы Контейнеры - это способ разделения ресурсов а не сп, Аноним, 12-Фев-19, 11:28 (27) //
    - s for security, да Правда, как раз lxc-то принципиально позиционировалась как li, нах, 12-Фев-19, 11:48 (30)
      - И почему тогда бсдами уже никто не пользуется, если они настолько лучше и продум, Аноним, 12-Фев-19, 13:58 (42)
        
        Ровно по той же причине, по которой линукса нет на десктопах , Клыкастый, 12-Фев-19, 14:07 (44)
        
        Это учитывая, что классический десктоп стремительно вымирает, а на планшетах, хр, Аноним, 12-Фев-19, 14:26 (45)
        
        Был вопрос и я ответил К чему эти пространные оправдания с переводом темы и стр, Клыкастый, 12-Фев-19, 15:02 (46)
        Панеты и хромыебуки не взетеи продавеное в американские коы не в счёт , псевдонимус, 13-Фев-19, 07:13 (69)
        
        Авторитетное мнение не имеюего даже заваявсейся вненей кавы ии магазина по бизос, анонн, 13-Фев-19, 18:39 (80)
        
        дык вон там выше изложение, для чего на самом деле нужны нынче контейнеры Этого , нах, 12-Фев-19, 15:29 (47)
        
        Вот ты срёшь на убунточку, а сам кагбе мимоходом умолчал что сам пользуешь Дава, Gannet, 13-Фев-19, 04:14 (67)
        
        как прибили, так и держится В смысле - чего клиент требует, из того куличик и, нах, 13-Фев-19, 11:16 (73)
        
        У кого что болит Сочувствую тебе , Gannet, 14-Фев-19, 22:42 (90)
        Потом сознания , Gannet, 14-Фев-19, 22:44 (91)
        
        Я фряху испозую на роутере-файопомойке Нагад на неё Токо без аргументов вроде , псевдонимус, 13-Фев-19, 14:20 (78)
      - Вообще-то контейнеры никогда не позиционировались как ВМы Только админам локалхо, SysA, 12-Фев-19, 17:17 (51)
        
        Угу, а системда никогда не позиционировалась как быстрый инит , помним-помним h, анонн, 12-Фев-19, 17:41 (52)
        
        Для тех, кто в танке Здесь имеется ввиду ФУНКЦИОНАЛЬНОСТЬ, а не защита , SysA, 13-Фев-19, 13:52 (77)
        
        Для тех, кто мерзнет вне танка это современная формулировка А что там с так и, анонн, 13-Фев-19, 18:28 (79)
        
        У тебя пальцы перебиты что-ли , Gannet, 13-Фев-19, 04:16 (68)
  - 60 Именно так и позиционироваис И старые п-уны да админы окахостов пытаис дон, Аноним84701, 12-Фев-19, 22:35 (64) //
    - Просто я заи каву томатным соком Про постоянные дырки в lинукс-контейнерах будет, псевдонимус, 12-Фев-19, 22:47 (65)
Я вообще с контейнерами познакомился, когда надо было чью-то кривую поделку на n, Аноним, 12-Фев-19, 12:38 (36) //
- аминь, брат, leonid, 14-Фев-19, 01:23 (89)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру