В runc (https://github.com/opencontainers/runc), инструментарии для запуска изолированных контейнеров, выявлена (https://seclists.org/oss-sec/2019/q1/119) критическая уязвимость (CVE-2019-5736 (https://security-tracker.debian.org/tracker/CVE-2019-5736)), позволяющая из подготовленного злоумышленником изолированного контейнера подменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak (https://github.com/flatpak/flatpak/releases/tag/1.2.3). Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.
Суть (https://www.redhat.com/en/blog/it-starts-linux-how-red-hat-h...) уязвимости в возможности запуска исполняемого файла runc внутри контейнера, но его исполнения в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт, вызывающий /proc/self/exe, который ссылается на исполняемый файл runc. При выполнении "docker exec" и запуске runtime-ом подменённого /bin/bash будет выполнен файл, на который ссылается /proc/self/exe, а именно runc на стороне хоста. После этого атакующий может через модификацию /proc/self/exe внести изменение в исполняемый файл runc на стороне хост-системы.Для проведения атаки требуется выполнение пользователем с правами root операции создания нового контейнера на основе подготовленного атакующим образа или подключения к существующему контейнеру (достаточно выполнения "docker exec"), к которому ранее атакующий имел доступ на запись. Проблема не блокируется профилем по умолчанию AppArmor и правилами SELinux в Fedora (процессы контейнера запускаются в контексте container_runtime_t). При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces) или при использовании режима "enforcing" SELinux в RHEL.
Уязвимость уже устранена в RHEL, Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1674489), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...) и SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-5736), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-5736). Решающие проблему патчи подготовлены для runc (https://github.com/opencontainers/runc/commit/0a8e4117e7f715...) и LXC (https://github.com/lxc/lxc/commit/6400238d08cdf1ca20d49bafb8...). Рабочий прототип эксплоита планируют опубликовать 18 февраля.
URL: https://seclists.org/oss-sec/2019/q1/119
Новость: https://www.opennet.dev/opennews/art.shtml?num=50130
Давно пора понять, что выполнение чего-либо с правами root в контейнере аналогично полной компрометации всей системы. User namespace не лучше, уже на столько грабель наступили и ещё предстоит наступить.
This attack is only possible with privileged containers since it requires root
privilege on the host to overwrite the runC binary. Unprivileged containers
with a non-identity ID mapping do not have the permission to write to the host
binary and therefore are unaffected by this attack.
а по умолчанию контейнер какой?
Смотря кто запускает. Если запускает рут (или пользователь, который может писать в /usr/bin/runc), то привелегированный, otherwise — в пролете.
> Смотря кто запускает.совершенно неважно, кто его запускает, лапочка.
Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.
Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.
другое дело, что внутри контейнера процесс с pid1 вовсе не обязан быть рутовым, но это множится на ноль принятыми способами запуска демонов, что в контейнере, что нет. Нерутовый докер встречается все больше в абстрактно-сферическом вакууме, да и там не работает без кучи костылей и подпорок.
Ну а поскольку тут речь идет о заведомо подброшенном врагами образе (который типовой лох конечно же тащит неглядя с хаба) - разумеется, даже если и не запустят его не заморачиваясь, "всегда так делаем!", предусмотрительный автор предусмотрит вывод сообщения "запуск от юзера планируется в следующей major версии, а пока не выпендривайтесь, запускайте как все" - и ты ему совершенно не удивишься, ибо у всех так.
>[оверквотинг удален]
> другое дело, что внутри контейнера процесс с pid1 вовсе не обязан быть
> рутовым, но это множится на ноль принятыми способами запуска демонов, что
> в контейнере, что нет. Нерутовый докер встречается все больше в абстрактно-сферическом
> вакууме, да и там не работает без кучи костылей и подпорок.
> Ну а поскольку тут речь идет о заведомо подброшенном врагами образе (который
> типовой лох конечно же тащит неглядя с хаба) - разумеется, даже
> если и не запустят его не заморачиваясь, "всегда так делаем!",
> предусмотрительный автор предусмотрит вывод сообщения "запуск от юзера планируется в следующей
> major версии, а пока не выпендривайтесь, запускайте как все" - и
> ты ему совершенно не удивишься, ибо у всех так.Т.е. VPS это полноценная изоляция насколько позволяет Spectre (ну или Epyc Rome c шифрованием клиентской памяти).
А Docker и другие контейнеры - это адская отложенная дыра и никакой изоляции?
Накой черт тогда все вокруг онанируют на эти контейнеры? Они же должны сдохнуть как и Електрон.Когда вышел дотнет коре с поддержкой контейнеров, все прям рассыпались в диферамбах.
Типа наконец-то сделали, красавцы... А по-хорошему надо было застрелить того индуса, который это придумал.
> Т.е. VPS это полноценная изоляция насколько позволяет Spectreну как бы побеги из этой изоляции через дырки в виртуальных или паравиртуальных драйверах тоже в общем случаются регулярно.
Просто их никто не воспринимает как "notabug" ;-)
> Накой черт тогда все вокруг онанируют на эти контейнеры? Они же должны сдохнуть как и Електрон.
"а других разработчиков у меня для вас нет".
Основное _сегодня_ использование контейнеров - это чтобы разбросанное хрюшками по полу хрючево пополам с навозом донести от их машины до прода, не заляпав все вокруг.
И, как и электрон, оно будет жить вечно, потому что стало модно нанимать зато-дешовеньких, и девальвацию специальности уже никто и никогда назад не вернет.
распечатаю и повешу на стену
>А Docker и другие контейнеры - это адская отложенная дырада может кроме опенвз
>Накой черт тогда все вокруг онанируют на эти контейнеры?
Переносимост По этой же причине не сдохнет и эектрон
> да может кроме опенвзВы где видели официально стабильный Openvz на ядра выше 2.6.32 ?.. вот вот.. труп оно.
>>А Docker и другие контейнеры - это адская отложенная дыра
> да может кроме опенвзсмешно, но его пилили как раз для управления ресурсами в большей степени, чем для надежной изоляции (точнее, тогда меньше боялис-боялис страшного и ужастного хакера, и гораздо больше - долбоящера ,который сожрет все ресурсы дохлого хоста с сотнями таких же рядом)
ну правда его нормальные программисты пилили, не "программисты на go"
>>>А Docker и другие контейнеры - это адская отложенная дыра
>> да может кроме опенвз
> смешно, но его пилили как раз для управления ресурсами в большей степени,
> чем для надежной изоляциия про это собствено и написа
> Накой черт тогда все вокруг онанируют на эти контейнеры?Потому-что быстрее, памяти жрёт меньше, управление контекстом и нагрузкой предсказуемее, т.к. работает одно ядро на всё - хост и контейнеры.
В VPS, работает по отдельному ядру на хост и каждую VM.
>работает одно ядро на всё - хост и контейнеры.Еси ты про процессорное ядро то ты не прав
>>работает одно ядро на всё - хост и контейнеры.
> Еси ты про процессорное ядро то ты не правЕщё про пушечное ядро скажи. Про kernel речь - https://en.wikipedia.org/wiki/Kernel_(operating_system)
Тогда верно И это похо
> Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.И как тогда podman без рута работает по-твоему?
> Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.
> Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.100%?
Т.е. докер не запускает pid1 контейнера в неймспейсе с маппингом <uid> 0 ? Я не знаком с докером досконально, но изоляция без user namespace имеет мало смысла, я б предположил, что они это делают.
Кто-то из нас не понял суть уязвимости.
>> Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.
> 100%?докер - программа, работающая от рута, причем с максимально широкими правами - всякие аппарморы и группы в панике разбегаются, давая уроду дорогу. А управление ей ты дал левому васяну, как только добавил его в группу имеющих право доступа к сокету, ему больше вообще ничего уже в этой жизни не надо, точнее, он сам себе все возьмет, что только захочет.
то что в ней нашлась и еще одна мелкая дырочка - что васян может быть нелевым, но запустить по дурости левый контейнер, который нештатным образом получит доступ к все той же докер-инфраструктуре на хосте (и станет опять же рутом) - на этом фоне смешное недоразумение.
> докер - программа, работающая от рута, причем с максимально широкими правами -
> всякие аппарморы и группы в панике разбегаются, давая уроду дорогу. А
> управление ей ты дал левому васяну, как только добавил его в
> группу имеющих право доступа к сокету, ему больше вообще ничего уже
> в этой жизни не надо, точнее, он сам себе все возьмет,
> что только захочет.да ладно? Даже если в ответ демон делает fork() и setuid()?
Даже традиционной системы привилегий достаточно, чтоб сделать все безопасно. Конечно, легко ошибиться и наделать дыр. Но сделать безопасно можно.
И еще раз, проблема проявляется в привелегированных контейнерах. Т.е. таких, где рут внутри == руту в хосте.
Наверное именно потому везде пихают аппармор и селинукс.
> Наверное именно потому везде пихают аппармор и селинукс.
> Конечно, легко ошибиться и наделать дырВот поэтому и ставят. Никогда не знаешь, где найдут очередную уязвимость. Удаленное исполнения кода и повышение привелегий случалось и доконтейнерную эпоху.
https://docs.docker.com/engine/security/userns-remap/вот жеж. Немного не так, как я ожидал, но суть в том, что сообщить демону, под кем запускать контейны — можно.
А демон хоть под кем крутись — не важно.
> https://docs.docker.com/engine/security/userns-remap/
> вот жеж. Немного не так, как я ожидал, но суть в том,
> что сообщить демону, под кем запускать контейны — можно.
> А демон хоть под кем крутись — не важно.Это и ест дыра Незя дават крутится "под кем хоче" Рут в контейнере не дожен превращатся в рут на хосте
> Это и ест дыра Незя дават крутится "под кем хоче" Рут в
> контейнере не дожен превращатся в рут на хостеконтейнер для этого неособенно и нужен - достаточно дать права левому юзеру на доступ к тому, что делается от рута - и необязательно напрямую.
банальный chroot пользователям недоступен - но авторам докера невдомек, почему же это. "какой-то ваш замшелый unixway".
>банальный chroot пользователям недоступенВот и именно! "Настоящий" (хостовый) рут дожен быт доступен токо админу хоста В бсдовых жайах это можно обеспечит через джай в джайе не стесняя при этом разработчика в современных lинуксовых "контейнерах" (какое говорящее название сразу возникает ассоциация с мусором) как видиsh
>>банальный chroot пользователям недоступен
> Вот и именно! "Настоящий" (хостовый) рут дожен быт доступен токо админу хоста
> В бсдовых жайах это можно обеспечит через джай в джайе не
> стесняя при этом разработчика в современных lинуксовых "контейнерах" (какое говорящее
> название сразу возникает ассоциация с мусором) как видиshвот это вы упрямые. Рут в контейнере не обязательно равне руту в хосте! И если это так (а обычно на продакшнах это так), но уязвимость не проявляется.
> Unprivileged containers with a non-identity ID mappingЧитайте про user namespace я упомянул. Безопасность при user namespace не лучше чем просто root внутри из-за специфичных для него проблем, которые регулярно продолжают находить.
> Безопасность при user namespace не лучше чем просто rootвсе таки лучше - в частности, вот от этой конкретной беды уберегло бы.
то что реализация хромает на все восемь конечностей - и еще будет лет десять, а потом ее выкинут как немодную устаревшую технологию, это отдельная тема.
"При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces)"
Которые в докере, например, не заюзать нормально из-за кучи ограничений (например, невозможность использования volume-ов)
> Которые в докере, например, не заюзать нормально из-за кучи ограничений (например, невозможность
> использования volume-ов)а как же "volumes - прошлый век, тру девляпс использует ансибль, всегда модифицируя содержимое контейнера изнутри"?!
мне что, не ту методичку подложили?
Можно пример, когда это надо?
Красиво!
Ай молодца! Сколько всего сразу повалилось.
Вот это понимаю unix-way. Еще бы хромы и системд туда же.
After some discussion with the systemd-nspawn folks, it appears that
they aren't vulnerable (because their method of attaching to a container
uses a different method to LXC and runc).Наконец-то особый путь Лёни оказался полезен.
Wow, первый положительный коммент относительно systemd. Сам пользую systemd-контейнеры. Пока не жалею. Щас набежит толпа хейтеров...
> Щас набежит толпа хейтеров...Но ведь nspawn - это гораздо удобнее того же LXC.
А микроскоп лучше молотка, ну кто бы спорил. Выключите свет они на свет лезут.
> Еще бы хромы и системд туда жеиз системд к сожалению никто не хочет код копипастить к себе в инит.
Что у вас повалилось? Какой вменяемый сидит под рутом
Каждый второй хипста с докерком, угу.
каждый первый, поскольку далеко не все можно запустить с -u, и даже то что в принципе можно - не оправдывает траходрома
Вообще контейнеры - это адовый костыль. Был таковым, есть, и будет есть.
Это не костыль. Это попытка забивать гвозди микроскопом, а точнее использовать молоток для микробиологии. Контейнеры - отличный способ разделения ресурсов для доверенных приложений, но почему-то на каком то этапе применения контейнеров какой-то умственно-отсталый решил что они безопасные и должны изолировать и что факт получения рута в контейнере не эквивалентен компроментации всей системы. Оттуда всё и пошло.
разделение ресурсов для доверенных приложений неплохо обеспечивает операционная система. ну, во всяком случае, юниксподобная.Контейнеры изначально задумывались именно как слои дополнительной изоляции. (точнее, линуксные их реализации накрутили вокруг эклектичной свалки таких средств в ядре, не имеющей нормальных интерфейсов для пользователя)
В настоящее время массово используются вовсе не для этого, а для деплоя в обход dependency hell и компенсации кривизны средств разработки с их привычками "вали все в home", поэтому смешно ожидать что что-то другое у них будет получаться хорошо.
> В настоящее время массово используются вовсе не для этого, а для деплоя в обход dependency hell и компенсации кривизны средств разработки с их привычками "вали все в home", поэтому смешно ожидать что что-то другое у них будет получаться хорошо.Хорошо изложил.
Вооот Их создаваи дя руёжки ресурсами а не дя безопасности в отичие от тех же бсдовых кеток
На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру. Не? У меня runc в 18.04 вообще не установлен.
> На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру. Не?тебе - пофиг, никому твоя васян-локалхостовая поделка не нужна
А дыра в lxc точно такая же как и в докере - причем авторы гордо заявляют что "поскольку мы давно написали на туалетной бумажке, что рутовые контейнеры небезопасТные, объявлять это уязвимостью мы не будем!" Правда, хотя бы соломки подложили, не "notabug".
дыра то в runc?
нет, в liblxc точно такая же.
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...Задевает пакеты docker.io и runc.
lxd апдейтов не требует.
> https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...ну конечно, кто ж у нас эксперты чье мнение по всем вопросам самое главное - пипл с каноникал орг.
> Задевает пакеты docker.io и runc.
> lxd апдейтов не требует.notabug...простите, does not requires cve.
Я так понимаю, пройти по ссылке из самой новости и прочитать непосредственно мнение разработчиков lxc (с прилагаемым патчем) ты и по сей момент ниасилил?
>"поскольку мы давно написали на туалетной бумажке, что рутовые контейнеры небезопасТные, объявлять это уязвимостью мы не будем!"Но ведь они абсолютно правы. Контейнеры - это способ разделения ресурсов а не способ изоляции недоверенных приложений, следовательно это баг но не уязвимость.
s for security, да.Правда, как раз lxc-то принципиально позиционировалась как lightweight-замена vm, от которой в общем принято ждать нормальной изоляции, а не плохого разделения ресурсов. Впрочем, беда всех оберток одна и та же - они все не считают своей проблемой проблему пользователя.
"мы вам наслесарили поддержку user namespaces, остальные претензии к ядру, мопед не наш". А вот бсшдшники попали, у них jail традиционно часть системы, а не утилита где-то в sbin, не получается валить все на "эти там в ядре что-то недоделали, но наша утилита тут непричем". ;-)
> А вот бсшдшники попали, у них jail традиционно часть системы, а не утилита где-то в sbin, не получается валить все на "эти там в ядре что-то недоделали, но наша утилита тут непричем". ;-)И почему тогда бсдами уже никто не пользуется, если они настолько лучше и продуманее?
Ровно по той же причине, по которой линукса нет на десктопах.
> Ровно по той же причине, по которой линукса нет на десктопах.Это учитывая, что классический десктоп стремительно вымирает, а на планшетах, хромбухах, телефонах, в телезвизорах совсем не бзды?
Просто бсдшники любят рассказывать об академической правильности и крутости своих подходов, скромно умалчивая, что даже сами ими в реальности нигде кроме виртуалки не пользуются.
>> Ровно по той же причине, по которой линукса нет на десктопах.
> Это учитывая, что классический десктоп стремительно вымираетБыл вопрос и я ответил. К чему эти пространные оправдания с переводом темы и стрелок, совершенно неясно. Такое впечатление что вы, дорогой аноним, отвечаете на вопрос, который я не задавал.
Панеты и хромыебуки не взетеи(продавеное в американские коы не в счёт)
> Панеты и хромыебуки не взетеи(продавеное в американские коы не в счёт)Авторитетное мнение не имеюего даже заваявсейся вненей кавы ии магазина по бизости и пиуего уже третий ден каки-то ребусы?
> И почему тогда бсдами уже никто не пользуетсядык вон там выше изложение, для чего на самом деле нужны нынче контейнеры.
Этого в бсде нет и не будет никогда - патамушта-у-разработчика-линукс. В смысле, он вообще ничего другого кроме своей бубунточки не умеет, и до прода ее донести не рассыпав можно только завернув в контейнер (leak and radiation proof).
А так - пользуются, те кому на самом деле юникс нужен, а не платформа для докера. И jail там именно как средство изоляции - тоже вполне пользуем, вот, к примеру, так:
syslogd_program="/usr/sbin/jail"
syslogd_flags="-l -n syslog -s 2 / $hostname $EXT_IP /usr/sbin/syslogd"
то есть вообще ничего не трогая в штатной системной обвязке - стремную (в режиме без -ss ) зверушку отправили в отдельную помойку подальше от остальных.
Ей там совершенно не плохеет (она не получает pid1, со всеми его обязанностями, она не отрезана от общей fs, ей нормально передает сигналы ротейтилка и т д) но если ее поломают - предстоит еще интересный квест по вылезанию из пространства, где нет ни одного постороннего процесса, сеть ограничена и доступ к сокетам остального сервера - на общих основаниях, а не как у локального процесса и т д.Нет, хочешь отдельную иерархию в fs или вовсе эмуляцию виртуалки с полноценным исполнением /etc/rc, собственным ssh внутри и т д - пожалуйста, но, как видим, можно и без.
Проблема в другом - а кому он нужен сегодня, этот юникс? Нужно ж как-в-винде, только бесплатно.
Исключения, конечно, есть, но их слишком мало, чтобы привлечь нормальных разработчиков, да еще способных одолеть барьер на входе.P.S. осторожно, в примере использован запрещенный синтаксис времен 4.x и еще он, скорее всего, подерется с protect. Новые-модные тенденции, они и тут норовят все испортить.
Вот ты срёшь на убунточку, а сам кагбе мимоходом умолчал что сам пользуешь. Давай и мы посрём на твой дистр, чё, слабо, умник?
> Вот ты срёшь на убунточку, а сам кагбе мимоходом умолчал что сам"как прибили, так и держится". В смысле - чего клиент требует, из того куличик и слепим. Клиентов требующих не из дерьма и палок и способных за это заплатить - у меня, к сожалению, на горизонте нет. А и появятся - не возьмусь. Клиент не вечен (даже если это какой-нибудь netflix), а строчка в резюме "построил Тадж-Махал в натуральную величину на freebsd" не принесет нынче успеха у следующих работодателей. В отличие от известной субстанции, и можно даже в масштабе 1:10000, но непременно на 1000 инстансов.
> пользуешь. Давай и мы посрём на твой дистр, чё, слабо, умник?
это ты на б-жественную десяточку намекаешь? Не советую, instant karma может настичь: http://bash.org/?163301
> это ты на б-жественную десяточку намекаешь? Не советую, instant karma может настичь:
> http://bash.org/?163301У кого что болит. Сочувствую тебе.
> "как прибили, так и держится". В смысле - чего клиент требует, из
> того куличик и слепим. Клиентов требующих не из дерьма и палок
> и способных за это заплатить - у меня, к сожалению, на
> горизонте нет. А и появятся - не возьмусь. Клиент не
> вечен (даже если это какой-нибудь netflix), а строчка в резюме "построил
> Тадж-Махал в натуральную величину на freebsd" не принесет нынче успеха у
> следующих работодателей. В отличие от известной субстанции, и можно даже в
> масштабе 1:10000, но непременно на 1000 инстансов.Потом сознания?
Я фряху испозую на роутере-файопомойке Нагад на неё Токо без "аргументов" вроде утф8 в консои В ней ест что пнут
Вообще-то контейнеры никогда не позиционировались как ВМы!
Только админам локалхоста не видна разница.
> Вообще-то контейнеры никогда не позиционировались как ВМы!Угу, а системда никогда не позиционировалась как "быстрый инит", помним-помним!
https://web.archive.org/web/20110924020630/http://lxc.source.../
> The LXC package combines these Linux kernel mechanisms to provide a userspace container object, a lightweight virtual system with full resource isolation and resource control for an application or a system.
> LXC started out with an efficient mechanism (existing Linux process management) and added isolation, resulting in a system virtualization mechanism as scalable and portable as chroot, capable of simultaneously supporting thousands of emulated systems on a single server while also providing lightweight virtualization options to routers and smart phones.https://linuxcontainers.org/
> That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware.
Для тех, кто в танке:> That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware.
Здесь имеется ввиду ФУНКЦИОНАЛЬНОСТЬ, а не защита!
> Для тех, кто в танке:
>> That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware.
> Здесь имеется ввиду ФУНКЦИОНАЛЬНОСТЬ, а не защита!Для тех, кто мерзнет вне танка: это современная формулировка.
А что там с (так изящно проигнорированным:
>> a lightweight virtual system with full resource isolation and resource control for an application or a system.
>> Вообще-то контейнеры никогда не позиционировались как ВМы!
> Именно так и позиционироваис И старые п-уны да админы окахостов пытаис донести
> мыс что это не совсем так Но кто учитыва мнение этих
> дурачков?У тебя пальцы перебиты что-ли?
#60 > Именно так и позиционироваис И старые п-уны да админы окахостов пытаис донести мыс что это не совсем так Но кто учитыва мнение этих дурачков?
> Не Сама реаизация инукс-контейнеров и всего производного от них уязвима Даже системдаун-контейнеры(которые тот же lхц)Похоже, оно еще и портит буквы 'л' и 'ъ', как и знаки препинания o_O …
Просто я заи каву томатным соком Про постоянные дырки в lинукс-контейнерах будет что-нибуд? Норманые опенвз у вас быи тут говорят что они похие и вообще рип Но где же норманые?
Я вообще с контейнерами познакомился, когда надо было чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машину.
Очень жаль, что уязвимость нашли, на машине, куда перенес, один хрен никто докер обновлять не будет, ибо работает и хрен с ним ©
> чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машинуаминь, брат