Исправление firkax, (текущая версия) :
А авторы докера что говорят?
Я не изучал это вопрос, никому ничё не писал, просто утром пришла в голову идея, накидал по-быстрому «PoC», расстроился что не вышло изначально задуманное (надеялся сбежать из контейнера), но поскольку всё-таки некоторая эскалация прав получилась - написал тут.
Повторю:
Возможно это баян и ещё более возможно всем пофиг
------
Или кто там должен реализовывать защиту от этого, мб это и в ведре дыра.
Ну, на самом деле докер это обёртка вокруг сисколла unshare(), но если б писал про него - кликбейтный заголовок не получился бы. А так да, это особенности работы ядра, но в ядре вроде как никто не гарантировал обратное.
Я бы в ядро добавил опцию запрета передачи SCM_RIGHTS между разными unshare-контекстами.
Исходная версия firkax, :
А авторы докера что говорят?
Я не изучал это вопрос, никому ничё не писал, просто утром пришла в голову идея, накидал по-быстрому «PoC», расстроился что не вышло изначально задуманное (надеялся сбежать из контейнера), но поскольку всё-таки некоторая эскалация прав получилась - написал тут.
Повторю:
Возможно это баян и ещё более возможно всем пофиг
Или кто там должен реализовывать защиту от этого, мб это и в ведре дыра.
Ну, на самом деле докер это обёртка вокруг сисколла unshare(), но если б писал про него - кликбейтный заголовок не получился бы. А так да, это особенности работы ядра, но в ядре вроде как никто не гарантировал обратное.
Я бы в ядро добавил опцию запрета передачи SCM_RIGHTS между разными unshare-контекстами.