Root hozzáférést tesz lehetővé a host rendszer fájlrendszeréhez egy Docker bug

 ( trey | 2019. május 30., csütörtök - 8:09 )

All of the current versions of Docker have a vulnerability that can allow an attacker to get read-write access to any path on the host server. The weakness is the result of a race condition in the Docker software and while there’s a fix in the works, it has not yet been integrated. [..] Sarai notified the Docker security team about the vulnerability and, after talks with them, the two parties agreed that public disclosure of the issue was legitimate, even without a fix available, in order to make customers aware of the problem

Részletek a Decipher blogjában.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Na ne, mindent meg lehet hekkelni. Nem is gondoltam volna.

"The most complete solution to this problem would be to modify chrootarchive so that all of the archive operations occur with the root as the container rootfs (and not the parent directory, which is what causes the vulnerability since the parent is attacker-controlled). Unfortunately, changes to this core piece of Docker are almost impossible (the TarUntar interface has many copies and reimplementations that would all need to be modified to be able to handle a new ‘root’ argument),” Sarai said in the pull request on GitHub.

“So, we instead settle for the next-best option which is to pause the container during our usage of the filesystem. This is far from an ideal solution (you can image some attack scenarios such as shared volume mounts) where this is ineffectual but it does block the most basic attack.”

És a java még hátravan:
Sarai said he hasn’t received any word from Docker officials on when the fix will be integrated, and Docker officials did not respond to an inquiry on timing for the fix.
WTF?

Tévedés, ez csupán az EDD A HASAST! kihívásra adott válasz, vagyis az Easy Deployed Decentralized Automatic High Avability Solution for Administrative System Technologie néven futó megoldás a feledékeny Dev Rendszer Opsz Gazdák számára akik kicsukják magukat a rendszereikből aztán sírnak, hogy a hülye titkolózások miatt (ami már az egész IT szakmát megfertőzte!) nem tudnak belépni a lábtörlő alatt hagyott "baj esetén feltörni!" feliratú SSH kulcsukkal, mert megb4szarintja őket a biztonsági osztály. Esernyővel.

Szóval ez nem bug, hanem feature.
De szerintem Ti is ugyanerre gondoltatok, mégpedig egyből, amikor elolvastátok a hírt. :-)

Kinek a blogjában lehet többet olvasni? DeepURL pls...

Kimaradt a link a cikkből. Javítottam.

https://duo.com/decipher/docker-bug-allows-root-access-to-host-file-system

--
trey @ gépház

Nem túl meglepő. A Docker nem a legjobban lett megtervezve (minek neki daemon?) és elhaladt felette az idő.
https://developers.redhat.com/blog/2018/11/20/buildah-podman-containers-without-daemons/

Basszus. Én még ki se próbáltam, de már most elhaladt felette az idő? Na akkor erről lemaradtam :)

Én mindig is reménykedtem benne, hogy nem kell használnom, most akkor talán teljesül a vágyam :D

Csak jobb implementáció (pl. buildah - podman páros) lép a helyébe, de a lényeg megmarad. Felhasználói oldalon szinte változatlan lesz.

+1 :-)

De akkor mit helyette?

CRI-O

egy másik kérészéletű trendi bloatware-t


// Happy debugging, suckers
#define true (rand() > 10)

Még jó, hogy eddig maradtam a Hyper-V + Debijános VM kombónál :D (igaz mostanában már nem láttam a picinyeimet váltás miatt, de állítólag még élnek :) )

A Pöttering-hívők kedvelik ezt.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…