Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"	+/–
Сообщение от opennews (??), 06-Мрт-22, 13:21
Раскрыты детали уязвимости (CVE-2022-0492) в реализации механизма ограничения ресурсов cgroups v1 в ядре Linux, которая может использоваться для выхода из изолированных контейнеров. Проблема проявляется начиная с ядра Linux 2.6.24 и устранена в выпусках ядра 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 и 4.9.301. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56812
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+6 +/–
Сообщение от Аноним (1), 06-Мрт-22, 13:21
Чем они думали, когда вносили столь масштабные усложнения в обработку пользователей? Изначально же их предупреждали, что с user namespaces будут проблемы и теперь любая ошибка, проявляющаяся только при наличии прав root, стала общей дырой системы.
Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (40), 07-Мрт-22, 09:07
	О виртуализация на уровне операционной системы.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
Сообщение от Аноним (2), 06-Мрт-22, 13:30
> начиная с ядра Linux 2.6.24 Cgroups и namespaces были ещё тогда?
Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+8 +/–
	Сообщение от Аноним (4), 06-Мрт-22, 13:37
	Именно в этой версии cgroups и появились.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (13), 06-Мрт-22, 16:06
	Но ведь мы же не скажем что это было сделано специально. Это всё случайность, кто бы мог подумать.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+2 +/–
	Сообщение от Адмирал Майкл Роджерс (?), 06-Мрт-22, 19:20
	> Это всё случайность Именно так, сэр.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от псевдонимус (?), 06-Мрт-22, 20:09
	Халатность.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	55. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (55), 14-Мрт-22, 01:18
	совершенно случайно дверь построили...
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	6. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (6), 06-Мрт-22, 14:19
	Кроме user namespaces.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	–5 +/–
Сообщение от Аноним (3), 06-Мрт-22, 13:32
До конца не понял, какие контейнеры кроме docker подвержены проблеме.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+13 +/–
	Сообщение от Аноним (5), 06-Мрт-22, 13:49
	Любые под линуксом, которые используют cgroups. Баг именно в этой фиче, а не в докере.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+2 +/–
Сообщение от Аноним (7), 06-Мрт-22, 14:41
А в чем ПРОБЛЕМА то? Докер не песочница в полном её смысле, это средство доставки ПО на сервер или юзеру ак что-бы работало везде. Только повод сделать всё тормознее и продать больше новых процов.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от john_erohin (?), 06-Мрт-22, 14:49
	> А в чем ПРОБЛЕМА то? да как обычно. злонамеренный доскер-контейнер из публичного репозитория забыл как его там.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+1 +/–
	Сообщение от лютый жабби__ (?), 06-Мрт-22, 18:21
	>злонамеренный доскер-контейнер из публичного репозитория забыл как его там. учитывая, что local root дыры в линях раз в полгода да находят, надо считать любой софт злонамеренным, даже который без докера и без прав админа. Ну там постгрес какой-нибудь или постфикс или любое другое... и изоляцию делать на уровне железа + фаервол (а не виртуалок и тем более мусорных контейнеров) у какого-нибудь хетцнера или теперь уже селектела дедики на любой вкус, цвет и размер.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (18), 06-Мрт-22, 17:05
	Проблемы есть только у физики и энергетики.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	28. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+1 +/–
	Сообщение от Ананоним (?), 06-Мрт-22, 19:48
	Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+2 +/–
	Сообщение от Аноним (19), 06-Мрт-22, 17:09
	Проблема в cgroups. А оно было создано как раз для изоляции.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	20. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	–2 +/–
	Сообщение от Аноним (20), 06-Мрт-22, 17:21
	версии 1 Сгроуп ггг,с ядра 4.5 версия Сгоуп уже 2,если верить Хабре.MCBC только использует такое,да и то не факт,что там не патчено по самые помидоры.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от lockywolf (ok), 07-Мрт-22, 10:56
	Libcgroup до сих пор поддерживает cgroups v2 еле-еле.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+1 +/–
	Сообщение от Аноним (21), 06-Мрт-22, 17:26
	> А в чем ПРОБЛЕМА то? > Докер не песочница в полном её смысле, это средство доставки ПО на Это они потом, когда стало ясно, что оно скорее "дыркер", переобулись. https://web.archive.org/web/20140718075034/https://docs.dock.../ >>> At its core, Docker provides a way to run almost any application securely isolated in a container. https://web.archive.org/web/20140718074754/https://www.docke.../ >>> How is this different from Virtual Machines? >>> ... it enjoys the resource isolation and allocation benefits of VMs but is much more portable and efficient.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	22. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	–1 +/–
	Сообщение от Аноним (20), 06-Мрт-22, 17:35
	>>> At its core, Docker provides a way to run almost any application securely isolated in a container. DВы разве не знаете, что надежность это только надежда на нее. В доке про Раст такое примерно даже написано.
	Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	–1 +/–
Сообщение от Аноним (24), 06-Мрт-22, 17:59
> Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux То есть проблеме по сути подвержены только васянские сервачки, где настройка начинается с «setenforce 0», потому что васян не осилил ни доку на 3½ страницы, ни комикс-раскраску для деб^Wэникеев. Ок.
Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (30), 06-Мрт-22, 20:18
	ну, дока там на поболее, чем 3.5 страницы, скажем честно. Но насчет комикса - 100%
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (31), 06-Мрт-22, 20:30
	Ой, а можно мне ссыль на комикс-раскрасску? Чисто из любопытства.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от fafafafap (?), 07-Мрт-22, 16:25
	Друг попросил?
	Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	–1 +/–
Сообщение от bOOster (ok), 07-Мрт-22, 10:23
Вот что значит - "горе от ума"
Ответить | Правка | Наверх | Cообщить модератору

	54. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (54), 09-Мрт-22, 02:55
	rOOster
	Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
Сообщение от Павел Отредиез (ok), 07-Мрт-22, 12:07
Привет! А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых. http://www.tinyware.ru/documentation
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
Сообщение от lockywolf (ok), 07-Мрт-22, 12:29
Не выходи из контейнера, не совершай ошибку.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+1 +/–
Сообщение от Аноним (45), 07-Мрт-22, 14:45
с 11 марта с контейнера невыйдет никто
Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (40), 07-Мрт-22, 15:11
	Почему?
	Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
Сообщение от Аноним (46), 07-Мрт-22, 14:50
А если пустить докер под докером из виртуалки то как оно будет?
Ответить | Правка | Наверх | Cообщить модератору

	56. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."	+/–
	Сообщение от Аноним (55), 14-Мрт-22, 01:55
	А ещё лучше пустить докер на телефонке, которая лежит внутри системника... Вот уж точно никто из телефонки не выберется!
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема