The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"  +/
Сообщение от opennews (??), 06-Мрт-22, 13:21 
Раскрыты детали уязвимости (CVE-2022-0492) в реализации механизма ограничения ресурсов cgroups v1 в ядре Linux, которая может использоваться для выхода из изолированных контейнеров. Проблема проявляется начиная с ядра Linux 2.6.24 и устранена в выпусках ядра 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 и 4.9.301. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56812

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +6 +/
Сообщение от Аноним (1), 06-Мрт-22, 13:21 
Чем они думали, когда вносили столь масштабные усложнения в обработку пользователей? Изначально же их предупреждали, что с user namespaces будут проблемы и теперь любая ошибка, проявляющаяся только при наличии прав root, стала общей дырой системы.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (40), 07-Мрт-22, 09:07 
О виртуализация на уровне операционной системы.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (2), 06-Мрт-22, 13:30 
> начиная с ядра Linux 2.6.24

Cgroups и namespaces были ещё тогда?

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +8 +/
Сообщение от Аноним (4), 06-Мрт-22, 13:37 
Именно в этой версии cgroups и появились.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (13), 06-Мрт-22, 16:06 
Но ведь мы же не скажем что это было сделано специально. Это всё случайность, кто бы мог подумать.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +2 +/
Сообщение от Адмирал Майкл Роджерс (?), 06-Мрт-22, 19:20 
> Это всё случайность

Именно так, сэр.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от псевдонимус (?), 06-Мрт-22, 20:09 
Халатность.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

55. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (55), 14-Мрт-22, 01:18 
совершенно случайно дверь построили...
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

6. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (6), 06-Мрт-22, 14:19 
Кроме user namespaces.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  –5 +/
Сообщение от Аноним (3), 06-Мрт-22, 13:32 
До конца не понял, какие контейнеры кроме docker подвержены проблеме.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +13 +/
Сообщение от Аноним (5), 06-Мрт-22, 13:49 
Любые под линуксом, которые используют cgroups. Баг именно в этой фиче, а не в докере.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +2 +/
Сообщение от Аноним (7), 06-Мрт-22, 14:41 
А в чем ПРОБЛЕМА то?
Докер не песочница в полном её смысле, это средство доставки ПО на сервер или юзеру ак что-бы работало везде.
Только повод сделать всё тормознее и продать больше новых процов.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от john_erohin (?), 06-Мрт-22, 14:49 
> А в чем ПРОБЛЕМА то?

да как обычно.
злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +1 +/
Сообщение от лютый жабби__ (?), 06-Мрт-22, 18:21 
>злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

учитывая, что local root дыры в линях раз в полгода да находят, надо считать любой софт злонамеренным, даже который без докера и без прав админа. Ну там постгрес какой-нибудь или постфикс или любое другое...

и изоляцию делать на уровне железа + фаервол (а не виртуалок и тем более мусорных контейнеров)

у какого-нибудь хетцнера или теперь уже селектела дедики на любой вкус, цвет и размер.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (18), 06-Мрт-22, 17:05 
Проблемы есть только у физики и энергетики.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

28. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +1 +/
Сообщение от Ананоним (?), 06-Мрт-22, 19:48 
Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +2 +/
Сообщение от Аноним (19), 06-Мрт-22, 17:09 
Проблема в cgroups. А оно было создано как раз для изоляции.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  –2 +/
Сообщение от Аноним (20), 06-Мрт-22, 17:21 
версии 1 Сгроуп ггг,с ядра 4.5 версия Сгоуп уже 2,если верить Хабре.MCBC только использует такое,да и то не факт,что там не патчено по самые помидоры.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от lockywolf (ok), 07-Мрт-22, 10:56 
Libcgroup до сих пор поддерживает cgroups v2 еле-еле.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +1 +/
Сообщение от Аноним (21), 06-Мрт-22, 17:26 
> А в чем ПРОБЛЕМА то?
> Докер не песочница в полном её смысле, это средство доставки ПО на

Это они потом, когда стало ясно, что оно скорее "дыркер", переобулись.
https://web.archive.org/web/20140718075034/https://docs.dock.../
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.

https://web.archive.org/web/20140718074754/https://www.docke.../
>>> How is this different from Virtual Machines?
>>> ... it enjoys the resource isolation and allocation benefits of VMs but is much more portable and efficient.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Аноним (20), 06-Мрт-22, 17:35 
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.

DВы разве не знаете, что надежность это только надежда на нее. В доке про Раст такое примерно даже написано.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  –1 +/
Сообщение от Аноним (24), 06-Мрт-22, 17:59 
> Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux

То есть проблеме по сути подвержены только васянские сервачки, где настройка начинается с «setenforce 0», потому что васян не осилил ни доку на 3½ страницы, ни комикс-раскраску для деб^Wэникеев. Ок.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (30), 06-Мрт-22, 20:18 
ну, дока там на поболее, чем 3.5 страницы, скажем честно. Но насчет комикса - 100%
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (31), 06-Мрт-22, 20:30 
Ой, а можно мне ссыль на комикс-раскрасску? Чисто из любопытства.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от fafafafap (?), 07-Мрт-22, 16:25 
Друг попросил?
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  –1 +/
Сообщение от bOOster (ok), 07-Мрт-22, 10:23 
Вот что значит - "горе от ума"
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (54), 09-Мрт-22, 02:55 
rOOster
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Павел Отредиез (ok), 07-Мрт-22, 12:07 
Привет! А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых. http://www.tinyware.ru/documentation
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от lockywolf (ok), 07-Мрт-22, 12:29 
Не выходи из контейнера, не совершай ошибку.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +1 +/
Сообщение от Анонимemail (45), 07-Мрт-22, 14:45 
с 11 марта с контейнера невыйдет никто
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (40), 07-Мрт-22, 15:11 
Почему?
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (46), 07-Мрт-22, 14:50 
А если пустить докер под докером из виртуалки то как оно будет?
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в cgroups v1, позволяющая выйти из изолированного..."  +/
Сообщение от Аноним (55), 14-Мрт-22, 01:55 
А ещё лучше пустить докер на телефонке, которая лежит внутри системника... Вот уж точно никто из телефонки не выберется!
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру