LINUX.ORG.RU

Выход из контейнера

 ,


2

3

В менеджере контейнеров Docker обнаружена критическая уязвимость. Она позволяет писать в хост-систему с правами root.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: cetjs2 (всего исправлений: 5)

Чета даже ржу.

Похоже действительно нужна какая-то совсем другая архитектура и железа и ОС, чтобы дыры чуть не каждый день не вылазили.

praseodim ★★★★★
()

Как, блин, вовремя закончилась основная поддержка на SLES 11. А расширенной у меня нет. А хотя ладно. У меня контейнеры только на локалхосте

ZenitharChampion ★★★★★
()
Последнее исправление: ZenitharChampion (всего исправлений: 2)
Ответ на: комментарий от praseodim

Нужны какие-то совсем другие люди, чтобы не считали нагромождение слоёв решением любой проблемы. Контейнеры могут быть хороши для определённых сценариев (e.g. простой редеплоймент с окружением для быстрого развёртывания), но городить лишний слой поверх хостовой системы прав ради безопасности — это идеальный пример костыля.

dimgel ★★★★★
()

Никогда такого не было, и вот, опять!

DawnCaster ★★
()

так контейнеры же не для безопасности. это же для неосиляторов

Anoxemian ★★★★★
()
Ответ на: комментарий от Slackware_user

Ну понятно, что любая дыра сводится к конкретному куску говнокода. Что не отменяет принципа.

dimgel ★★★★★
()
Ответ на: комментарий от dimgel

тут скорее проблема в том что народ стал использовать докер для того для чего он не предназначен. если использовать его как средство разработки локально то проблем 0.

Slackware_user ★★★★★
()
Ответ на: комментарий от Slackware_user

+1, именно об этом я и говорю. :)

UPD. Слака говно! Не знаю, не юзал, гента наше всё. Но если ты со слаки на чё-нить другое переедешь, будешь просить админа ЛОРа ник поменять?

dimgel ★★★★★
()
Последнее исправление: dimgel (всего исправлений: 2)
Ответ на: комментарий от dimgel

городить лишний слой поверх хостовой системы прав ради безопасности

это нормально, таких слоев тьма.

а вот применять для изоляции контейнеры - это плохая идея.

t184256 ★★★★★
()
Ответ на: комментарий от praseodim

железа

Да, сходи подкачайся, там другая железа

anonymous
()
Ответ на: комментарий от linuxoidspb

Как только в CoreOS завезут, обязательно посмотрю.

commagray ★★★★★
()
Ответ на: комментарий от t184256

Полагаю, имеются в виду всякие SELinux и AppArmor. Тоже сложные костыли поверх для-кого-то-недостаточно-прошаренной системы прав лялиха. Но если они чем и лучше контейнеризации, так это толщиной слоя. Хотя ЕМНИП и в них дыры находили размером с жопу Саши Грей.

dimgel ★★★★★
()
Ответ на: комментарий от linuxoidspb

Спасибо, добрый человек, давно не мог вспомнить, как эта наркомания звалась.

t184256 ★★★★★
()
Ответ на: комментарий от dimgel

<offtop on >Ну основная система Gentoo )) Slackware периодически ставлю </offtop off >

Slackware_user ★★★★★
()
Ответ на: комментарий от linuxoidspb

А оно может прикладное приложение на голом железе ? а то мысль бредовая возникла)

Slackware_user ★★★★★
()
Ответ на: комментарий от praseodim

Похоже действительно нужна какая-то совсем другая архитектура и железа и ОС, чтобы дыры чуть не каждый день не вылазили.

Рукажопам это не поможет :(

vasya_pupkin ★★★★★
()
Ответ на: комментарий от commagray

самое время завести юзера под сервис и выдать ему нужные права, а не запускать всякую парашу в контейнере под рутом.

anonymous
()
Ответ на: комментарий от commagray

Думал, что проблема в самой виртуализации, но прочитал ссылку и понял, что на самом деле она в обвязке. Тогда да.

Хотя libpod тоже не застрахован от таких косяков.

Deleted
()
Ответ на: комментарий от Slackware_user

я тоже так думал, пока не стал использовать это угрёбище в разработке

none
()
Ответ на: комментарий от Slackware_user

если использовать его как средство разработки локально то проблем 0.

Ну разработал ты локально, потом ЭТИ контейнеры запускается в каком нибудь кибернате в продакшене, их юзают по сети и что дальше ?

mx__ ★★★★★
()
Ответ на: комментарий от t184256

Полная виртуализация или ничего.

Расскажи вкратце о принципиальных отличиях полной виртуализации от контейнеризации. Особенно интересует та часть, где волшебный единорог гарантирует ошибки в софте.

anonymous
()

Когда они уже обучатся.

anonymous
()
Ответ на: комментарий от anonymous

Вкратце? В случае полной виртуализации изоляция иногда ломается, а в случае чрутов-переростков - иногда наблюдается.

t184256 ★★★★★
()
Ответ на: комментарий от Slackware_user

я имел в виду когда в продакшене запускается не в докере.

Не очень понял. Ладно спрошу чуть по другому. Где в продакшене юзера имеют доступ к хосту с докером ?

mx__ ★★★★★
()
Ответ на: комментарий от t184256

Ты в суть дырки-то вник? Для её эксплуатации нужен человек с рутом на сервере. Расскажешь, как от этого спасает полная виртуализация?

anonymous
()
Ответ на: комментарий от anonymous

Для её эксплуатации нужен человек с рутом на сервере.

Я вам больше скажу. Малого что там нужен чел с рутом в хосте, так этот чел в этот момент должен делать - docker cp.

Не спорю что дыра, но заюзать ЭТО в продакшене практически не возможно.

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от mx__

должен делать в этот момент docker cp

И, возможно, не один раз! У меня с первого раза нигде не заработало. Только с

while true; do …; done
.

anonymous
()

Для эксплойта нужен только доступ к docker run и docker cp. Рут для этого не нужен, обычно только роль docker или иной эквивалент чтобы пользоваться докерным сокетом.

Похоже эксплуатируемо и при tcp протоколе, проблема в реализации команды, которую триггерит docker cp.

Однако в любом случае эксплойты возможны только при доступе к управлению докерным демоном. Это не помешает большинству продакшеновых деплоев, в тех же кубернейтсах, поскольку их кластеры неплохо изолированы, но может легко поломать целую серию CI-площадок, вроде гитлабовых, где можно запускать любые контейнеры и докер-в-докере.

anonymous
()
Ответ на: комментарий от anonymous

Видимо не вник, потому что в моем понимании для ее эксплуатации не нужен человек с рутом на «хосте».

Просвети невнимательного.

t184256 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.