anonymous@RULINUX.NET~# | Last login: 2024-11-23 18:09:00 |
Регистрация Вход | Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск |
Форум - Security | [RSS] |
В инструментарии управления изолированными контейнерами LXC выявлена уязвимость (CVE-2016-8649), позволяющая при наличии прав root внутри непривилегированного контейнера (работающего в отдельном user namespace) получить доступ к файлам хост-системы и выполнить свой код вне изолированного окружения.
Атака может быть совершена при запуске в контейнере процессов при помощи утилиты lxc-attach. Пользователь root в контейнере имеет возможность влиять на работу утилиты lxc-attach, что, в сочетании с достаточно просто достигаемым состоянием гонки при выполнении lxc-attach, может привести к отключению ограничений и получению доступа к хост-системе. Уязвимость охватывает две проблемы: использование в lxc-attach данных из источников, подконтрольных пользователю контейнера, и возможность применения вызова ptrace для экземпляров lxc-attach, созданных в другом пространстве пользователей (root из контейнера может получить доступ к процессу, созданному во внешнем user namespace).
В частности, lxc-attach оставляет открытым файловый дескриптор к одному из файлов /proc на стороне хост-системы, что позволяет атакующему получить чего него доступ к остальным частям файловой системы, используя системные вызовы семейства openat(). В том числе через файловый дескриптор могут быть записаны данные в файлы /proc/PID/attr/current или /proc/PID/attr/exec на стороне хост-системы для установки меток AppArmor и SELinux к прикреплённому процессу, что даёт возможность отключить сброс привилегий для процесса, запускаемого при помощи lxc-attach.
Уязвимость уже устранена в Ubuntu Linux и ожидает исправления в Debian, RHEL/CentOS, Fedora, Fedora EPEL и SUSE/openSUSE. Патч для блокирования уязвимости принят в дерево исходных текстов LXC, но для полного устранения возможных альтернативных векторов атаки также требуется внесение исправлений в ядро Linux для реализации проверки прав доступа к ptrace с учётом user namespace.
http://openwall.com/lists/oss-security/2016/11/23/6
http://www.opennet.ru/opennews/art.shtml?num=45573
Dr.uid(*) (2016-11-27 15:19:40)
Mozilla/5.0 (X11; Linux i686; rv:45.0) Gecko/20100101 Firefox/48.0
|
|
|
Скрыть
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнеракак-то это всё не нра.. есть какое-то субъективное ощущение, что постоянно из *nix хотят сделать M$. chroot, jail, sysjail - Ъ *nix механизмы "изоляции", но.. by system design "рут" в *nix таки обязан иметь права на железо. из-за этого собсно попёрла ставка на полную виртуализацию окружения, несмотря на гораздо бОльшие "накладные расходы". |
Скрыть
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнераЯ ничего не понял. LXC как раз стремится снизить эти самые 'гораздо бОльшие "накладные расходы"', а раздавать рутовые права направо и налево - просто небезопасно. Раздашь налево - а там бэкдор, троян или баг какой-нибудь окажется. Или пользователь непреднамеренно совершит какую-нибудь ошибку. anonymous(*)(2016-11-28 05:47:07)
Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0 |
Скрыть
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнераНе раздавать права оказывается недостаточно. Это было ещё номально когда по размещалось в ФС в виде одного бинарника, и отслеживалось на этом уровне. Вот сейчас и стремяться все засунуть в контейнер, чтобы было можно управлять доступом как единым контейнером, а не отслеживать на уровне файлов, которых овердофига. Но проблема поднятия привелегий через уязвимости остается, только теперь в другом виде. anonymous(*)(2016-11-28 16:21:43)
Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0 |
Скрыть
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнераНе раздавать права оказывается недостаточно. Это было ещё номально когда по размещалось в ФС в виде одного бинарника, и отслеживалось на этом уровне. Вот сейчас и стремяться все засунуть в контейнер, чтобы было можно управлять доступом как единым контейнером, а не отслеживать на уровне файлов, которых овердофига. Но проблема поднятия привелегий через уязвимости остается, только теперь в другом виде. |
Скрыть
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнераp.p.s.: |
Скрыть
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнераflatpak через что работает? |
|
|
|
Этот тред читают 2 пользователя: |
Анонимных: 2 Зарегистрированных: 0 |
Re: Уязвимость в LXC, позволяющая получить доступ к файлам вне контейнера
В LXC вроде всегда рекомендовалось быть очень осторожными с рутовыми правами внутри контейнера
Mozilla/5.0 (X11; Fedora; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0