URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 133148
[ Назад ]

Исходное сообщение
"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию контейнера"
Отправлено opennews , 18-Мрт-24 22:38

В пакетах Buildah и Podman выявлена уязвимость (CVE-2024-1753), позволяющая получить полный доступ к файловой системе хост-окружения на стадии сборки контейнера, запускаемого с правами root. На системах с включённым SELinux доступ к хостовой ФС ограничивается режимом только чтения. Исправление пока доступно в виде патча, который несколько минут назад принят в кодовую базу Buildah...
Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60805

Содержание

Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 22:38 , 18-Мрт-24
- Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Alex Gluck, 22:57 , 18-Мрт-24
Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Анонимус3000, 23:22 , 18-Мрт-24
- Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 00:08 , 19-Мрт-24
Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 00:34 , 19-Мрт-24
Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 04:02 , 19-Мрт-24
- Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,RarogCmex2, 08:22 , 19-Мрт-24
  - Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 11:31 , 19-Мрт-24
Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 09:35 , 19-Мрт-24
Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,anonymous, 13:22 , 19-Мрт-24
- Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к...,Аноним, 14:39 , 19-Мрт-24

Сообщения в этом обсуждении

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 18-Мрт-24 22:38

Именно поэтому контейнеры нужно собирать с помощью kaniko. Разумеется, из контейнера.

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Alex Gluck , 18-Мрт-24 22:57

Нет не нужно, продолжайте собирать контейнеры buildah из контейнера и проблема вас не затронет.

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Анонимус3000 , 18-Мрт-24 23:22

mount=type=bind,rw,source=/etc2,destination=/etc2
А тут точно всё правильно? Что это за сорс такой в хостовой системе?

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 19-Мрт-24 00:08

Это символьная ссылка, взятая из предыдущей стадии сборки. Из-за дыры в buildah она интерпретируется как точка монтирования файловой системы хоста.

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 19-Мрт-24 00:34

>исходный каталог для монтирования оформлен в виде символической ссылки на корневую ФС.
Эпический фейл!

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 19-Мрт-24 04:02

Зачем контейнеры собирать на продакшене, если есть возможность использовать другие, менее критические среды? Вот говорят что под рутом нельзя пакеты собирать, я в виртуалке пакеты собираю, если что-то потрется из снапшота или бэкапа восстановлю.

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено RarogCmex2 , 19-Мрт-24 08:22

Получить вирус в стейджинг тоже ничего хорошего

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 19-Мрт-24 11:31

Так для этого надо самому собирать, а не из FROM.

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 19-Мрт-24 09:35

>запускать непроверенные скрипты
>уязвимость

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено anonymous , 19-Мрт-24 13:22

Потому что надо было назвать программу builder и не выпендриваться.

"Уязвимость в Buildah и Podman, позволяющая обойти изоляцию к..."
Отправлено Аноним , 19-Мрт-24 14:39

А как же очаровательный реднековский колорит?