URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 126953
[ Назад ]
Исходное сообщение
"Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера"
Отправлено opennews , 06-Мрт-22 13:21 
Раскрыты детали уязвимости (CVE-2022-0492) в реализации механизма ограничения ресурсов cgroups v1 в ядре Linux, которая может использоваться для выхода из изолированных контейнеров. Проблема проявляется начиная с ядра Linux 2.6.24 и устранена в выпусках ядра 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 и 4.9.301. Проследить за публикаций обновления пакетов в дистрибутивах можно на данных страницах: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56812

Содержание
Сообщения в этом обсуждении
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 13:21 
Чем они думали, когда вносили столь масштабные усложнения в обработку пользователей? Изначально же их предупреждали, что с user namespaces будут проблемы и теперь любая ошибка, проявляющаяся только при наличии прав root, стала общей дырой системы.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 07-Мрт-22 09:07 
О виртуализация на уровне операционной системы.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 13:30 
> начиная с ядра Linux 2.6.24

Cgroups и namespaces были ещё тогда?

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 13:37 
Именно в этой версии cgroups и появились.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 16:06 
Но ведь мы же не скажем что это было сделано специально. Это всё случайность, кто бы мог подумать.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Адмирал Майкл Роджерс , 06-Мрт-22 19:20 
> Это всё случайность

Именно так, сэр.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено псевдонимус , 06-Мрт-22 20:09 
Халатность.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 14-Мрт-22 01:18 
совершенно случайно дверь построили...
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 14:19 
Кроме user namespaces.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 13:32 
До конца не понял, какие контейнеры кроме docker подвержены проблеме.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 13:49 
Любые под линуксом, которые используют cgroups. Баг именно в этой фиче, а не в докере.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 14:41 
А в чем ПРОБЛЕМА то?
Докер не песочница в полном её смысле, это средство доставки ПО на сервер или юзеру ак что-бы работало везде.
Только повод сделать всё тормознее и продать больше новых процов.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено john_erohin , 06-Мрт-22 14:49 
> А в чем ПРОБЛЕМА то?

да как обычно.
злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено лютый жабби__ , 06-Мрт-22 18:21 
>злонамеренный доскер-контейнер из публичного репозитория забыл как его там.

учитывая, что local root дыры в линях раз в полгода да находят, надо считать любой софт злонамеренным, даже который без докера и без прав админа. Ну там постгрес какой-нибудь или постфикс или любое другое...

и изоляцию делать на уровне железа + фаервол (а не виртуалок и тем более мусорных контейнеров)

у какого-нибудь хетцнера или теперь уже селектела дедики на любой вкус, цвет и размер.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 17:05 
Проблемы есть только у физики и энергетики.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Ананоним , 06-Мрт-22 19:48 
Проблемы с этими есть только у уверовавших в непреодолимость этих якобы проблем.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 17:09 
Проблема в cgroups. А оно было создано как раз для изоляции.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 17:21 
версии 1 Сгроуп ггг,с ядра 4.5 версия Сгоуп уже 2,если верить Хабре.MCBC только использует такое,да и то не факт,что там не патчено по самые помидоры.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено lockywolf , 07-Мрт-22 10:56 
Libcgroup до сих пор поддерживает cgroups v2 еле-еле.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 17:26 
> А в чем ПРОБЛЕМА то?
> Докер не песочница в полном её смысле, это средство доставки ПО на

Это они потом, когда стало ясно, что оно скорее "дыркер", переобулись.
https://web.archive.org/web/20140718075034/https://docs.dock.../
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.

https://web.archive.org/web/20140718074754/https://www.docke.../
>>> How is this different from Virtual Machines?
>>> ... it enjoys the resource isolation and allocation benefits of VMs but is much more portable and efficient.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 17:35 
>>> At its core, Docker provides a way to run almost any application securely isolated in a container.

DВы разве не знаете, что надежность это только надежда на нее. В доке про Раст такое примерно даже написано.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 17:59 
> Отмечается, что уязвимость не может быть эксплуатирована при применении механизмов защиты Seccomp, AppArmor или SELinux

То есть проблеме по сути подвержены только васянские сервачки, где настройка начинается с «setenforce 0», потому что васян не осилил ни доку на 3½ страницы, ни комикс-раскраску для деб^Wэникеев. Ок.

"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 20:18 
ну, дока там на поболее, чем 3.5 страницы, скажем честно. Но насчет комикса - 100%
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 06-Мрт-22 20:30 
Ой, а можно мне ссыль на комикс-раскрасску? Чисто из любопытства.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено fafafafap , 07-Мрт-22 16:25 
Друг попросил?
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено bOOster , 07-Мрт-22 10:23 
Вот что значит - "горе от ума"
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 09-Мрт-22 02:55 
rOOster
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Павел Отредиез , 07-Мрт-22 12:07 
Привет! А я живу без CAP_SYS_ADMIN CAP_DAC_OVERRIDE и ещё некоторых. http://www.tinyware.ru/documentation
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено lockywolf , 07-Мрт-22 12:29 
Не выходи из контейнера, не совершай ошибку.
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 07-Мрт-22 14:45 
с 11 марта с контейнера невыйдет никто
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 07-Мрт-22 15:11 
Почему?
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 07-Мрт-22 14:50 
А если пустить докер под докером из виртуалки то как оно будет?
"Уязвимость в cgroups v1, позволяющая выйти из изолированного..."
Отправлено Аноним , 14-Мрт-22 01:55 
А ещё лучше пустить докер на телефонке, которая лежит внутри системника... Вот уж точно никто из телефонки не выберется!