The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.01.2017 11:28  В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера

В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена опасная уязвимость (CVE-2016-9962), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой в runtime runC, который используется по умолчанию начиная с ветки Docker 1.11, и также применяется в некоторых других системах

RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена в ноябре в инструментарии LXC.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: Выпуск rkt 1.3, конкурирующего с Docker инструментария управления контейнерами
  3. OpenNews: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера
  4. OpenNews: Треть образов контейнеров в Docker Hub содержит опасные уязвимости
  5. OpenNews: Выпуск Docker 1.6.1 с устранением уязвимостей. Google, Red Hat и VMware поддержали App Container
  6. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.6
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker, runc
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, hoopoe, 11:34, 13/01/2017 [ответить] [смотреть все]
  • –1 +/
    не очень понятно: user space библиотека управляет доступом из контейнера? а что помешает выполнить аналогичный код в другой библиотеке? или она работает вне контейнера?
     
     
  • 2.15, sage, 11:44, 15/01/2017 [^] [ответить] [смотреть все]
  • +/
    Она работает вне контейнера, но дает возможность приложениям, выполняемым в контейнере, которые были запущены через эту утилиту, выполнить ptrace на эту утилиту.
    В общем, уязвимость опасна только в том случае, если кто-то сперва модифицировал контейнер, добавив в него вредоносный код в программы, которые вы запускаете через exec, а потом дождался, когда вы выполните exec.
     
  • 1.4, Аноним, 12:33, 13/01/2017 [ответить] [смотреть все]
  • +16 +/
    Снова демоны вылазят из контейнеров...
     
     
  • 2.13, iZEN, 16:54, 14/01/2017 [^] [ответить] [смотреть все]
  • –1 +/
    Как чертёнок из табакерки.
     
  • 1.5, Ванга, 14:25, 13/01/2017 [ответить] [смотреть все]
  • –1 +/
    Только новая архитектура позволит преодолеть слабую изоляцию приложений.
     
     
  • 2.6, Пользователь Debian, 14:50, 13/01/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Шлите патчи в Hurd
     
  • 1.7, Celcion, 16:06, 13/01/2017 [ответить] [смотреть все]  
  • –1 +/
    "Выбраться из контейнера" - это зачет. Как представлю себе "уязвимость, выбирающуюся из контейнера" - так портится сон и аппетит.
     
     
  • 2.11, Аноним, 10:36, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    На твоём вантузе? Не смеши.
     
  • 1.8, Аноним, 16:06, 13/01/2017 [ответить] [смотреть все]  
  • +3 +/
    Кто-то действительно использует Docker для изоляции потенциально опасных приложе... весь текст скрыт [показать]
     
  • 1.10, Michael Shigorin, 17:33, 13/01/2017 [ответить] [смотреть все]  
  • –3 +/
    http www opennet ru openforum vsluhforumID3 108659 html 131 PS в смысле дырк... весь текст скрыт [показать]
     
  • 1.12, Вы забыли заполнить поле Name, 16:49, 14/01/2017 [ответить] [смотреть все]  
  • –4 +/
    go? безопасность? Не, не слышал.
     
  • 1.14, Аноним, 18:50, 14/01/2017 [ответить] [смотреть все]  
  • +/
    Правда данная уязвимость не эксплуатируется на системах с настроенным selinux.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor