The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.11.2014 11:54  Обновление Docker 1.3.2 с устранением критических уязвимостей

Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.3.2, в котором устранены две уязвимости, статус которых отмечен как критически опасный:

  • CVE-2014-6407 - возможность извлечения файлов из контейнера в произвольную часть ФС хост-системы при выполнении команд "docker pull" или "docker load". Уязвимость вызвана некорректной обработкой жестких и символических ссылок в коде извлечения данных из образа контейнера. При успешной организации атаки возможно инициирование выполнения кода на стороне хост-системы и повышение своих привилегий. Проблема проявляется во всех версиях Docker, до выпуска Docker 1.3.2, в который добавлены дополнительные проверки и задействовано chroot-окружение при извлечении данных.
  • CVE-2014-6408 - создатель образов может обойти ограничения, заданные для выполнения изолированного контейнера. Проблема проявляется только в выпусках 1.3.0 и 1.3.1, и может привести к выходу за пределы контейнера. Причиной является предоставление создателю образа возможности привязки опций безопасности к образам, что может быть использовано для изменения профиля безопасности по умолчанию для контейнеров, построенных с использованием данных образов.


  1. Главная ссылка к новости (http://www.openwall.com/lists/...)
  2. OpenNews: Canonical и Docker развивают LXD, гипервизор для изолированных контейнеров (дополнено)
  3. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.3
  4. OpenNews: Раскрыта информация об уязвимости, позволяющей обойти авторизацию на Docker Hub
  5. OpenNews: Red Hat и Docker развивают систему изолированных контейнеров для десктоп-приложений
  6. OpenNews: Выявлена уязвимость, позволяющая выйти за пределы контейнеров Docker
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.4, iZEN, 12:54, 25/11/2014 [ответить] [смотреть все]
  • –11 +/
    В Jail эти детские проблемы давно решены.
     
     
  • 2.5, Аноним, 13:13, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Jail можно скинуть на другую машину ?
     
     
  • 3.9, iZEN, 14:45, 25/11/2014 [^] [ответить] [смотреть все]
  • –2 +/
    > Jail можно скинуть на другую машину ?

    Простым копированием по NFS.

     
     
  • 4.12, Аноним, 15:35, 25/11/2014 [^] [ответить] [смотреть все]
  • +/
    без остановки?
     
     
  • 5.15, Вася лодочник, 17:19, 25/11/2014 [^] [ответить] [смотреть все]
  • +/
    да, с прямыми руками
     
  • 5.16, Аноним, 17:19, 25/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Да вот видео http www 7he at freebsd vps docs demo_2012 mp4 А вот патч http ... весь текст скрыт [показать]
     
     
  • 6.19, Аноним, 22:26, 25/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Ух ты! А я как то пропустил что таки допилили - спасибо!
     
  • 5.22, iZEN, 16:05, 30/11/2014 [^] [ответить] [смотреть все]  
  • +/
    https://www.linux.org.ru/forum/admin/10850758
     
  • 2.13, Аноним, 15:39, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Только есть пара нюансов 1 Ты понятия не имеешь как работает Jail жабист же ... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, Аноним, 16:59, 25/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    В новости речь идёт о _создании_ контейнера, а не его эксплуатации Jail можно т... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 13:39, 25/11/2014 [ответить] [смотреть все]  
  • +/
    почему новостей про очередное обновление докера так мало, ежели у меня из OBS к... весь текст скрыт [показать]
     
  • 1.11, softfire, 15:30, 25/11/2014 [ответить] [смотреть все]  
  • +1 +/
    Сырой еще.
     
     
  • 2.20, vn971, 21:37, 28/11/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Был сырой, есть сырой и бу... Ой, простите. Хотел просто сказать что они не позиционируют свою наработку как инструмент безопастности. Скорее быстрая развёртка приложений (aufs), шарилка конфигов (index.docker.io) и т.д.
     
     
  • 3.21, Аноним, 16:10, 29/11/2014 [^] [ответить] [смотреть все]  
  • +/
    Безопасность тут и не нужна по определению софта.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList