Представлен внеочередной выпуск cистемы управления контейнерной виртуализацией Docker 1.6.1, в котором устранены четыре уязвимости, каждая из которых позволяет выполнить операции с повышенными привилегиями при обработке специально оформленных образов контейнеров или файлов Dockerfile. Пользователям рекомендуется запускать только собственные образы или образы, полученные из заслуживающих доверия источников.
Проблема CVE-2015-3629 связана с некорректной обработкой символических ссылок и позволяет перезаписать файл на стороне хост-системы в момент запуска контейнера. Проблема CVE-2015-3627 вызвана открытием файлового дескриптора с номером 1 до вызова chroot. Проблема CVE-2015-3630 вызвана возможности чтения/записи в псевдо-ФС /proc, что позволяет манипулировать параметрами хост-системы через пути proc/asound, /proc/timer_stats, /proc/latency_stats и /proc/fs. Проблема CVE-2015-3631 возникла из-за возможности использования содержимого /proc в качестве точки монтирования разделов.
Дополнительно, можно отметить заявление о поддержке в продуктах компаний Google, Red Hat, Apcera и VMware спецификации App Container, развиваемой в рамках конкурирующего с Docker проекта Rocket. Rocket позиционируется как более безопасная и адаптированная для серверного применения альтернатива инструментарию Docker. Спецификация App Container определяет универсальный и переносимый формат контейнеров, и позволяет создавать независимые собственные реализации, совместимые с инструментарием Rocket.
source1
source2
Проблема CVE-2015-3629 связана с некорректной обработкой символических ссылок и позволяет перезаписать файл на стороне хост-системы в момент запуска контейнера. Проблема CVE-2015-3627 вызвана открытием файлового дескриптора с номером 1 до вызова chroot. Проблема CVE-2015-3630 вызвана возможности чтения/записи в псевдо-ФС /proc, что позволяет манипулировать параметрами хост-системы через пути proc/asound, /proc/timer_stats, /proc/latency_stats и /proc/fs. Проблема CVE-2015-3631 возникла из-за возможности использования содержимого /proc в качестве точки монтирования разделов.
Дополнительно, можно отметить заявление о поддержке в продуктах компаний Google, Red Hat, Apcera и VMware спецификации App Container, развиваемой в рамках конкурирующего с Docker проекта Rocket. Rocket позиционируется как более безопасная и адаптированная для серверного применения альтернатива инструментарию Docker. Спецификация App Container определяет универсальный и переносимый формат контейнеров, и позволяет создавать независимые собственные реализации, совместимые с инструментарием Rocket.
source1
source2
Комментариев нет:
Отправить комментарий