LINUX.ORG.RU

Обнаружена критическая уязвимость в OpenVZ

 , ,


0

4

В Сети появилась информация об обнаружении критической уязвимости в OpenVZ — популярной реализации технологии виртуализации на уровне операционной системы, базирующейся на ядре Linux.

Уязвимость, которой уже присвоен код CVE-2014-3519, кроется в функции open_by_handle_at(), позволяющей через структуру file_handle получить доступ к файлам на смонтированной файловой системе. Имея права рута внутри контейнера (а они обычно предоставляются хостером), злоумышленник может обойти ограничения файловой системы simfs и получить полный доступ к основной файловой системе (например, другим контейнерам).

Уязвимы все версии OpenVZ, основанные на RHEL6 и использующие файловую систему simfs. Доступно исправление от разработчиков.

Похожая уязвимость, позволяющая выйти за пределы контейнеров, недавно была выявлена и в системе контейнерной виртуализации Docker.

>>> Подробности

anonymous

Проверено: fallout4all ()

Ответ на: комментарий от I-Love-Microsoft

Опенвз выезжал на полной секьерности и изолированности контейнеров в отличие от сырого в этом плане LXC.

dvrts ★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Нельзя полагаться на то, что в каком-то участке кода нет багов.

Legioner ★★★★★ ()

системе контейнерной виртуализации Docker

Docker же на LXC сделан? Значит уязвимость была в LXC?

anonymous ()
Ответ на: комментарий от Reset

Все эти чруты на стероидах одна большая дырень, а не «виртуализация».

Безопасность допилят. Зато не надо кучу ядер витуализировать и кучу виртуальных блочных устройств создавать: оверхед минимальный, скорость максимальная.

xorik ★★★★★ ()
Последнее исправление: xorik (всего исправлений: 1)
Ответ на: комментарий от xorik

Блочные устройства, внезапно, можно пробросить.

anonymous ()
Ответ на: комментарий от xorik

Зато не надо кучу ядер витуализировать и кучу виртуальных блочных устройств создавать: оверхед минимальный, скорость максимальная.

А что, таки нет другого варианта?

loz ★★★★★ ()

Горячие ремонты! Даже горячечные!

Woofywoof ()

Возникла мысль в момент когда наши господа и дамы сидят на кортах Уимбилдона, ой играют попетросянить. OpenVZ - это Вера Звонарёва на Аустралиан Оупен!

Woofywoof ()

Получается, proxmox не пострадал?

AVL2 ★★★★★ ()

Всегда знал, что OpenVZ отстой полнейший.

Это очевидная любому систематическая «дыра»: версии этого поделия существуют только для _некоторых_ версий ядер.

Как только «дыра» в ядре затрагивает OpenVZ (или наоборот), _все_ системы с OpenVZ становятся серьёзно уязвимыми, причем на неопределенное время (пока, собственно, разработчики OpenVZ не отдуплятся). Переход на другую версию ядра, фактически, невозможен ввиду отсутствия патчей OpenVZ для этой версии.

slamd64 ★★★★★ ()
Ответ на: комментарий от xorik

IMHO, когда «не надо кучу ядер витуализировать», подойдет и обычный чрут. Можно использовать всем известные и простые методы - вырезать запись о root (0:0) в /etc/passwd, не запускать внутри чрута софт от рута и т. д.

Когда же секурность таки требуется, то от нормальной виртуалки никуда не денешься.

slamd64 ★★★★★ ()

в стотысячный раз на те же грабли...

anonymous ()

Уязвимы все версии OpenVZ, основанные на RHEL6

Да, после того, как OpenVZ взяла RH под свое крыло - оно стало УГ :(.

YAR ★★★★★ ()

на каждый фикс 50Mb загрузки

Достаёт то, что на каждый фикс размером типа нынешнего в 7 строчек «Запретить открывать файл по дескриптору внутри VE» приходится загружать 50 Мегабайт combined-patch. Доступный GIT отсутствует. А так ядро отличное.

seyko2 ()
Ответ на: комментарий от slamd64

Когда же секурность таки требуется, то от нормальной виртуалки никуда не денешься.

Прямо таки никуда?

loz ★★★★★ ()
Ответ на: на каждый фикс 50Mb загрузки от seyko2

там пишут, что можно ни чего не обновлять, а тупо дропнуть всем привилегию:

# vzctl vied --save --capability DAC_READ_SEARCH:off --setmode restart

что касается docker, то в последних версиях они заменили blacklist policy на whitelist - теперь для контейнера все привилегии дропаются по умолчанию, от греха подальше.

Lucky ★★ ()

Решето. Вначале уязвимость обнаружили в LXC, теперь в OpenVZ. Кто следующий на очереди?

lucentcode ★★★★★ ()

Не уязвимость а закладка!

Пора бы уже повзрослеть и перестать верить во все эти OpenVZ, OpenSSL, OpenVPN, SELinux, BitCoin и т.д.

anonymous ()
Ответ на: комментарий от dvrts

Например, ядро перестало собираться нормально; куча каких-то ненужных зависимостей между модулями, баги, висящие месяцами и т.п. Может, конечно, со временем пофиксили, но когда openvz-ядром занимался не RH, а изначальные разработчики - было как-то получше.

Так или иначе, но с OpenVZ я давно свалил и не жалею.

YAR ★★★★★ ()
Последнее исправление: YAR (всего исправлений: 2)
Ответ на: комментарий от slamd64

Нууу... Дыра в гипервизоре - это, всё-таки, существенно сложнее!

ну вот год или два назад была уязвимость в xen, которая позволяла выходить за рамки гостя. что-то там с устройствами было связано. так что настоящие виртуалки не особо панацея.
с другой стороны у openvz в своем классе пока нет конкурентов. lxc пыжится, но пока толку нет. самсунь что-то там новое продвигает на андроидах, может когда-то из него что-то выжмут, а пока только Openvz.

prizident ★★★★★ ()
Ответ на: комментарий от BMX

они на ядро rhel7 переходить собираются?

Да (уже давно есть внутренняя бета, пока непонятно, когда бета будет релизиться наружу).

ovzkir ()
Ответ на: на каждый фикс 50Mb загрузки от seyko2

Доступный GIT отсутствует

Для RHEL7-based ядра будет нормальный гит. Непонятно только, когда, но надеюсь, что в этом году :)

ovzkir ()
Ответ на: комментарий от I-Love-Microsoft

Вот это эпично... учитывая что ФС в других контейнерах
вероятно не шифруются - ведь изолировано ж.

Вообще-то точно не шифруется. vzfs - это очень грубо говоря - надстройка над каталогом. В какой-то степени аналог mount --bind.

eXOR ★★★★★ ()
Ответ на: комментарий от prizident

Про андроиды

Из андроидного в ядре по большому счёту только binder. Что на его основе можно виртуализировать

seyko2 ()
Ответ на: комментарий от YAR

Сравниваю openvz и ваниль 3.10.30

И как-то получается, что openvz 2.6.32 лучше функционирует. И быстро, и глюков меньше. Всё, чего не хватает, портируется. Живу и не нарадуюсь.

PS: недавно запустил openvz 2.6.9. Хоть и старая версия, но запустилась и работает. Проверил на ней openbinder.

seyko2 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.