The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.06.2014 11:04  Выявлена уязвимость, позволяющая выйти за пределы контейнеров Docker

В cистеме управления контейнерной виртуализацией Docker выявлена уязвимость, позволяющая выйти за пределы изолированного контейнера. Проблема устранена в релизе Docker 1.0, но присутствует в выпусках до 0.11 включительно. Для проверки наличия проблемы подготовлен прототип эксплоита, позволяющий из контейнера прочитать любой файл хост-системы. Кроме Docker проблеме могут быть подвержены и другие системы контейнерной виртуализации, использующие инструменты, подобные LXC.

Техника эксплуатации основана на обращении к внешним файлам через прямой доступ к inode, которые остаются видимыми в контексте всей файловой системы после прикрепления части данной ФС через "mount --bind". Полагая, что inode 2, как правило, связан с корнем, осуществляется последовательный перебор всех inode, пока не найдётся inode, ссылающийся на нужный файл. Проблеме также подвержены системы, в которых используются снапшоты, субразделы, chroot и специализированные ioctl для манипуляций с ФС (доступны в XFS).

Для совершения атаки необходимо иметь возможность запуска операций внутри контейнера с правами root. В Docker 1.0 проблема не проявляется благодаря удалению привилегии CAP_DAC_READ_SEARCH. При этом отмечается, что теоретически для организации похожей атаки может использоваться привилегия CAP_MKNOD, которая пока оставлена в Docker 1.0.

  1. Главная ссылка к новости (http://blog.docker.com/2014/06...)
  2. OpenNews: Первый стабильный выпуск cистемы управления контейнерной виртуализацией Docker
  3. OpenNews: Доступна система управления контейнерной виртуализацией Docker 0.11
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 12:04, 20/06/2014 [ответить] [смотреть все]
  • +/
    Ну вот, такая страшилка с интересным эксплойтом и приписка В Docker 1 0 проб... весь текст скрыт [показать]
     
     
  • 2.2, Michael Shigorin, 12:48, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Случайно пофиксили...
     
     
  • 3.11, rob pike, 16:08, 20/06/2014 [^] [ответить] [смотреть все]  
  • +4 +/
    Новый модный подход к security Выпускать новые версии быстрее чем к старым успе... весь текст скрыт [показать]
     
     
  • 4.13, Константавр, 16:59, 20/06/2014 [^] [ответить] [смотреть все]  
  • +5 +/
    Так вот зачем в опенсорсе постоянно всё переписывают и ломают Они же как зайцы ... весь текст скрыт [показать]
     
     
  • 5.16, tessel, 18:04, 20/06/2014 [^] [ответить] [смотреть все]  
  • +/
    То ли дело ссаный энтерпрайз, где баги бережно консервируют и ни в коем случае н... весь текст скрыт [показать]
     
     
  • 6.20, Аноним, 19:30, 20/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    8230 тщательно документируют их и приводят несколько workaround ов в печатном ... весь текст скрыт [показать]
     
     
  • 7.29, Аноним, 05:00, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    А настоящий энтерпрайз делает как-то так http www opennet ru opennews art sht... весь текст скрыт [показать]
     
  • 1.3, Аноним, 13:32, 20/06/2014 [ответить] [смотреть все]  
  • +4 +/
    А вот что пишут об этом разработчики Docker Hi all, I m a maintainer of Docker ... весь текст скрыт [показать]
     
     
  • 2.4, Motif, 14:01, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    И кому они такие красивые нужны SELinux и без них работает ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, Аноним, 14:34, 20/06/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    И вырубается каждым первым сплойтом А пару раз авторы сплойтов его даже благода... весь текст скрыт [показать]
     
     
  • 4.17, CssfPZS, 18:07, 20/06/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    Пруф, или небыло.

    P.S. Диванный кукаретик детектед.

     
     
  • 5.30, Аноним, 05:11, 21/06/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Посмотри исходники любого боевого сплойта на повышение прав и т п - там обычно ... весь текст скрыт [показать]
     
     
  • 6.36, CssfPZS, 13:50, 21/06/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Я конечно понимаю, что у таких кукаретиков как ты, проблемы с чтением, но в прив... весь текст скрыт [показать]
     
  • 3.12, Аноним, 16:29, 20/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Grsecurity + PaX
     
     
  • 4.23, Аноним, 23:03, 20/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Саккез стори нету.
     
     
  • 5.33, Аноним, 05:23, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Так это то и хорошо Потому что обычно их пишут хаксоры которым удалось прору... весь текст скрыт [показать]
     
  • 3.18, Michael Shigorin, 19:24, 20/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Только скорее не selinux, а openvz тогда ... весь текст скрыт [показать]
     
     
  • 4.24, Аноним, 00:40, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Michael, openvz при всём моем к нему таки из другой оперы чем lxc Удивлён ... весь текст скрыт [показать]
     
     
  • 5.26, Led, 01:38, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Судя по всему, вы абсолютно не в теме Он из той же оперы И сабж к нему точ... весь текст скрыт [показать]
     
     
  • 6.27, Аноним, 03:29, 21/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    - Да как же в той же Там всё на других механизмах сляпано, всё А впрочем -... весь текст скрыт [показать]
     
     
  • 7.31, Аноним, 05:17, 21/06/2014 [^] [ответить] [смотреть все]  
  • +/
    IIRC идея была в том чтобы максимально переехать на услуги майнлайнового ядра, д... весь текст скрыт [показать]
     
  • 2.8, Пропатентный тролль, 15:11, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А вся фишка в том, что они этого никогда не скажут ;-)
     
  • 1.5, odity, 14:01, 20/06/2014 [ответить] [смотреть все]  
  • +/
    Че то читал код и е понял. он выходил за пределы памяти путем переполнения ? Ну это же , хм...
     
     
  • 2.7, Аноним, 14:35, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это где такое File line плиз ... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, Michael Shigorin, 19:25, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Он позволял работать прям по инодам ... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 15:27, 20/06/2014 [ответить] [смотреть все]  
  • –4 +/
    docker дырявый, linux дырявый, qubesos Рутковской на xen e который тоже дырявый ... весь текст скрыт [показать]
     
     
  • 2.10, Психиатр, 15:34, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    openssl дырявый, php дырявый, c/c++ сам по себе дырявый (в кривых руках) ... * тоже дырявый
    Как дальше жить?

    Только деревянные счёты, печатные книги, бумажные документы в стальном сейфе (упс, сейф тоже дырявый, брутфорсом их ломаютЬ) , да уж, я таки не знаю как дальше жить ...

     
     
  • 3.21, Аноним, 19:48, 20/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Плохой из вас психиатор, мне ещё хуже стало
     
     
  • 4.22, Аноним, 19:50, 20/06/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    s/психиатор/психиатр
     
  • 2.14, angra, 17:04, 20/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Как насчет openvz?
     
     
  • 3.15, Аноним, 17:15, 20/06/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    тоже дырявый!
    ;-D
     
  • 3.28, Аноним, 03:38, 21/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Led ты чего возбудился так Обычной чмошный ноющий тролько, а у тебя прям э... весь текст скрыт [показать]
     
  • 2.32, Аноним, 05:19, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Выкопать бункер на километровой глубине И никакой электроники Даже счеты лучше... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, bOOster, 15:55, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    *bsd !
     
  • 1.34, Anonym2, 09:01, 21/06/2014 [ответить] [смотреть все]  
  • +/
    Зачем вообще нужны хэндлы файлов?
     
     
  • 2.35, Anonym2, 09:23, 21/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Хотя всё равно не уязвимость, как здесь уже замечалось... :-)
    (контейнеры не предотвращают подобного рода доступ).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList