The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"  +/
Сообщение от opennews (??), 06-Мрт-22, 13:21 
Раскрыты детали уязвимости (CVE-2022-0492) в реализации механизма ограничения ресурсов cgroups v1 в ядре Linux, которая может использоваться для выхода из изолированных контейнеров. Проблема проявляется начиная с ядра Linux 2.6.24 и устранена в выпусках ядра 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 и 4.9.301. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56812

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 06-Мрт-22, 13:21   +6 +/
Чем они думали, когда вносили столь масштабные усложнения в обработку пользователей? Изначально же их предупреждали, что с user namespaces будут проблемы и теперь любая ошибка, проявляющаяся только при наличии прав root, стала общей дырой системы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

2. Сообщение от Аноним (2), 06-Мрт-22, 13:30   +/
> начиная с ядра Linux 2.6.24

Cgroups и namespaces были ещё тогда?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #6

3. Сообщение от Аноним (3), 06-Мрт-22, 13:32   –5 +/
До конца не понял, какие контейнеры кроме docker подвержены проблеме.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (4), 06-Мрт-22, 13:37   +8 +/
Именно в этой версии cgroups и появились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

5. Сообщение от Аноним (5), 06-Мрт-22, 13:49   +13 +/
Любые под линуксом, которые используют cgroups. Баг именно в этой фиче, а не в докере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (6), 06-Мрт-22, 14:19   +/
Кроме user namespaces.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Аноним (7), 06-Мрт-22, 14:41   +2 +/
А в чем ПРОБЛЕМА то?
Докер не песочница в полном её смысле, это средство доставки ПО на сервер или юзеру ак что-бы работало везде.
Только повод сделать всё тормознее и продать больше новых процов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #18, #19, #21

8. Сообщение от john_erohin (?), 06-Мрт-22, 14:49   +/
> А в чем ПРОБЛЕМА то?

да как обычно.
злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #26

13. Сообщение от Аноним (13), 06-Мрт-22, 16:06   +/
Но ведь мы же не скажем что это было сделано специально. Это всё случайность, кто бы мог подумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #27, #29, #55

18. Сообщение от Аноним (18), 06-Мрт-22, 17:05   +/
Проблемы есть только у физики и энергетики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #28

19. Сообщение от Аноним (19), 06-Мрт-22, 17:09   +2 +/
Проблема в cgroups. А оно было создано как раз для изоляции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

20. Сообщение от Аноним (20), 06-Мрт-22, 17:21   –2 +/
версии 1 Сгроуп ггг,с ядра 4.5 версия Сгоуп уже 2,если верить Хабре.MCBC только использует такое,да и то не факт,что там не патчено по самые помидоры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #42

21. Сообщение от Аноним (21), 06-Мрт-22, 17:26   +1 +/
> А в чем ПРОБЛЕМА то?
> Докер не песочница в полном её смысле, это средство доставки ПО на

Это они потом, когда стало ясно, что оно скорее "дыркер", переобулись.
https://web.archive.org/web/20140718075034/https://docs.dock.../
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.

https://web.archive.org/web/20140718074754/https://www.docke.../
>>> How is this different from Virtual Machines?
>>> ... it enjoys the resource isolation and allocation benefits of VMs but is much more portable and efficient.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #22

22. Сообщение от Аноним (20), 06-Мрт-22, 17:35   –1 +/
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.

DВы разве не знаете, что надежность это только надежда на нее. В доке про Раст такое примерно даже написано.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (24), 06-Мрт-22, 17:59   –1 +/
> Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux

То есть проблеме по сути подвержены только васянские сервачки, где настройка начинается с «setenforce 0», потому что васян не осилил ни доку на 3½ страницы, ни комикс-раскраску для деб^Wэникеев. Ок.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

26. Сообщение от лютый жабби__ (?), 06-Мрт-22, 18:21   +1 +/
>злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

учитывая, что local root дыры в линях раз в полгода да находят, надо считать любой софт злонамеренным, даже который без докера и без прав админа. Ну там постгрес какой-нибудь или постфикс или любое другое...

и изоляцию делать на уровне железа + фаервол (а не виртуалок и тем более мусорных контейнеров)

у какого-нибудь хетцнера или теперь уже селектела дедики на любой вкус, цвет и размер.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

27. Сообщение от Адмирал Майкл Роджерс (?), 06-Мрт-22, 19:20   +2 +/
> Это всё случайность

Именно так, сэр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

28. Сообщение от Ананоним (?), 06-Мрт-22, 19:48   +1 +/
Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

29. Сообщение от псевдонимус (?), 06-Мрт-22, 20:09   +/
Халатность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

30. Сообщение от Аноним (30), 06-Мрт-22, 20:18   +/
ну, дока там на поболее, чем 3.5 страницы, скажем честно. Но насчет комикса - 100%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31

31. Сообщение от Аноним (31), 06-Мрт-22, 20:30   +/
Ой, а можно мне ссыль на комикс-раскрасску? Чисто из любопытства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #48

40. Сообщение от Аноним (40), 07-Мрт-22, 09:07   +/
О виртуализация на уровне операционной системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

41. Сообщение от bOOster (ok), 07-Мрт-22, 10:23   –1 +/
Вот что значит - "горе от ума"
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

42. Сообщение от lockywolf (ok), 07-Мрт-22, 10:56   +/
Libcgroup до сих пор поддерживает cgroups v2 еле-еле.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

43. Сообщение от Павел Отредиез (ok), 07-Мрт-22, 12:07   +/
Привет! А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых. http://www.tinyware.ru/documentation
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от lockywolf (ok), 07-Мрт-22, 12:29   +/
Не выходи из контейнера, не совершай ошибку.
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Анонимemail (45), 07-Мрт-22, 14:45   +1 +/
с 11 марта с контейнера невыйдет никто
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

46. Сообщение от Аноним (46), 07-Мрт-22, 14:50   +/
А если пустить докер под докером из виртуалки то как оно будет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56

47. Сообщение от Аноним (40), 07-Мрт-22, 15:11   +/
Почему?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от fafafafap (?), 07-Мрт-22, 16:25   +/
Друг попросил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

54. Сообщение от Аноним (54), 09-Мрт-22, 02:55   +/
rOOster
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

55. Сообщение от Аноним (55), 14-Мрт-22, 01:18   +/
совершенно случайно дверь построили...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

56. Сообщение от Аноним (55), 14-Мрт-22, 01:55   +/
А ещё лучше пустить докер на телефонке, которая лежит внутри системника... Вот уж точно никто из телефонки не выберется!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру