> Пока что амна покушали сишники.Да вообще охренеть внезапность! А кто еще? Ну не фуксики же, с их драйвером фата на игогошке? И не хрустики с редоксом, которые до такой крути всерьез если и дорвутся то лет так через много? Сейчас они явно не в форме ТАКИЕ фичи кодить.
> Добавление контейнеров, как и изменение любой логики, никак не должно влиять на такое.
С хрена ли? Это вся модель пермиссий и все допущения имеющие хоть какое-то отношение к всему этому идут лесом. В системе без контейнеров вон то по сути не вулн, ибо обладатель CAP_NET_ADMIN может пялить систему в хвост и гриву, чаще всего это рут же. А в контейнерах оно, видите ли, немного "виртуальное" и по задумке CAP_NET_ADMIN с гуеста уже хренсгары на хосте. И если он может что-то еще получить с этого - вот тут это рут, но не тот рут, и вот тут некоторые допущения не удержались. И как ты понимаешь есть сотни кода писаные ДО эпохи контейнеров, где допущения при кодинге про модель безопасности и результирующие проблемы сильно другие.
> Это же классические проблемы с памятью. Они написали г0внокод и
> он просто не выстреливал им в ногу до поры до времени.
Вон то скорее гибридное комбо, наполовину вылезающее из смены парадигм от реализации контейнеров.
> Но день настал))
Вокруг namespaces в линухе наверняка водится много всякого интересного. Потому что изначально его не кодили с namespaces in mind, а столь резкое изменение допущений в середине пьесы вообще-то провернуть проблематично, когда это не было частью дизайна сразу.
> скорее всего была бы перехвачена ядром чтобы не падать,
И чего при этом было бы? Я так понимаю что в хрусте нет способа корректно продолжить операцию если он panic() захотел. Парадигма у них вроде бы такая. Собственно 9 итерация патчей хруста состоят из борьбы с подобной хренью чуть менее чем полностью. В процессе оказалось что патчи стали огромные и начали напоминать месиво.
> а дальше залогированно и напр. перезапущен упавший сервис)
Это какой такой сервис вы собрались перезапускать при хрустиковом panic()-е в ядре? Кернел то? Ну да, юзеры обожают ребуты и паники.
> Что легко бы нашли во время тестирования или уже у юзеров (прям
> как сейчас))). Только на много лет раньше.
А вот это - ну не факт. Если кто хочет про память попиндеть, ядро под kasan и т.п. сейчас гоняют и он таки фатально валится при детекте проблем с памятью. А гугл и ко это к тому же делают под syzcaller'ом к тому же. У них там вообще забавная штука есть, syzbot. Сам fuzz'ит сам bisect'ит, сам баги пишет... небось и вон то отловлено какой-нибудь автоматикой типа этого.
