The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению"  +/
Сообщение от opennews (?), 21-Мрт-22, 17:19 
В CRI-O, альтернативном runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти  изоляцию  и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий  может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56886

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +21 +/
Сообщение от . (?), 21-Мрт-22, 17:19 
изолированные контейнеры опять неизолированные, да что ж такое-то...

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +6 +/
Сообщение от CPU Load (?), 21-Мрт-22, 17:23 
Какая изоляция, такие и контейнеры. Протекает изоляция местами ))
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +2 +/
Сообщение от Аноним (19), 21-Мрт-22, 21:14 
Троянская изоляция.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от InuYasha (??), 21-Мрт-22, 21:47 
Пробивает. Киловольт на сантиметр )
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +2 +/
Сообщение от Аноним (6), 21-Мрт-22, 18:01 
А безопасные языки небезопасны. Мир несправедлив.  
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от BorichL (ok), 21-Мрт-22, 19:28 
"Добро пожаловать в реальный мир, Нео" (с)   :-)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (-), 21-Мрт-22, 19:52 
Безопастность по игогошному, как то
> указав обработчик типа "|/bin/sh -c 'команды'".
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +1 +/
Сообщение от MaleDog (?), 21-Мрт-22, 20:18 
Не очень понял при чем здесь go. os/exec конструкцию "ls | grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +1 +/
Сообщение от Аноним (-), 21-Мрт-22, 20:40 
Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  –1 +/
Сообщение от Аноним (5), 21-Мрт-22, 17:57 
> альтернативном runtime для управления изолированными контейнерами

альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад.
Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.
Короче, "альтернативным" cri-o неправильно называть.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (6), 21-Мрт-22, 18:05 
Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться.  Это всё та же история с системд только про кубер.  
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (9), 21-Мрт-22, 18:32 
Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm.

Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +1 +/
Сообщение от Аноним (6), 21-Мрт-22, 18:51 
Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно.  Вот и имеем nih-синдромы из всех щелей.  
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +4 +/
Сообщение от Аноним (8), 21-Мрт-22, 18:27 
containerd все же де-факто стандарт
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (6), 21-Мрт-22, 18:54 
Это не на долго.  
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +1 +/
Сообщение от Аноним (13), 21-Мрт-22, 18:57 
Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +2 +/
Сообщение от Аноним (13), 21-Мрт-22, 18:56 
> Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.

Да ладно! containerd остался дефолтом и наследником докера.
CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

14. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (14), 21-Мрт-22, 19:11 
>они даже не парятся о кросс-дистрибутивной поддержке.

Это потому все наработки по cri-o пилятся в opensuse?

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от hohax (?), 21-Мрт-22, 22:36 
Ой ли?
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от InuYasha (??), 21-Мрт-22, 21:49 
Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от nvidiaamd (?), 22-Мрт-22, 00:19 
Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (24), 22-Мрт-22, 11:14 
Куб работает со всем, что поддерживает стандарт CRI.
Люди пользуются только тем, что поддерживает стандарт OCI.
containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Аноним (-), 22-Мрт-22, 15:50 
И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от Онаним (?), 23-Мрт-22, 10:07 
Да ладно, не трожьте болезненный merit bloat.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."  +/
Сообщение от rhbm (?), 24-Мрт-22, 17:04 
> И какие организации стандартизации подписались за "стандарты"?

Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт!

И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше.

А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру