https://www.opennet.me/openforum/vsluhforumID3/109752.html В инструментарии управления изолированными контейнерами LXC выявлена (http://openwall.com/lists/oss-security/2016/11/23/6) уязвимость (CVE-2016-8649 (https://security-tracker.debian.org/tracker/CVE-2016-8649)), позволяющая (https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/1639345) при наличии прав root внутри непривилегированного контейнера (работающего в отдельном user namespace) получить доступ к файлам хост-системы и выполнить свой код вне изолированного окружения.<br><br><br><br><br><br>Атака может быть совершена при запуске в контейнере процессов при помощи утилиты lxc-attach. Пользователь root в контейнере имеет возможность влиять на работу утилиты lxc-attach, что, в сочетании с достаточно просто достигаемым состоянием гонки (https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D1%81%D1%82%D0%BE%D1%8F%D0%BD%D0%B8%D0%B5_%D0%B3%D0%BE%D0%BD%D0%BA%D0%B8) при выполнении lxc-attach, может привести к отключению ограничений и получению доступа к хост-системе. Уязвимость охватывает две проблемы: использование в lxc-attach данных из https://www.opennet.me/openforum/vsluhforumID3/109752.html#61 Wed, 30 Nov 2016 00:53:19 GMT Какой host-провайдере предоставляет возможность использовать свой OS-template для контейнеров openxz ? Почему-то большинство предлагают только ими приготовленные заготовкии. Своя ОС -- только при использовании KVM (в виде ISO)<br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#60 Tue, 29 Nov 2016 10:01:15 GMT а тебе Parallels сколько отстегнул ?<br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#59 Mon, 28 Nov 2016 21:45:21 GMT Непривилегированные контейнеры с разрешенным CAP_NET_BIND_SERVICE<br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#58 Mon, 28 Nov 2016 21:00:19 GMT $ sysctl security.mac.portacl.rules=uid:80:tcp:80<br>sysctl: Permission denied<br><br>Оттака ..ня, ребяты<br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#57 Mon, 28 Nov 2016 20:10:26 GMT &gt; linux-vserver наступают на пятки<br><br>Ты еще и из альтернативной вселенной пишешь?<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#56 Mon, 28 Nov 2016 19:53:29 GMT &gt; Так опенвз вроде слился с виртуоззо?<br><br>openvz это подачка в виде Open Core от виртуозы. <br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#55 Mon, 28 Nov 2016 19:53:00 GMT нет сил свое тянуть, cgroups + linux-vserver наступают на пятки, клиенты уже нос воротят - когда в ответ на запрос исходников им дулю суют, вот и приходится сливать..<br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#54 Mon, 28 Nov 2016 19:12:04 GMT Ничего себе степень альтернативной одаренности. Да если весь патч openvz перейдет в ванилу, то это будет просто праздник. Все бы так сливались. <br><br><br> https://www.opennet.me/openforum/vsluhforumID3/109752.html#53 Mon, 28 Nov 2016 15:19:41 GMT &gt; Да и в целом просто прикольный эксперимент - вон, пока не знали<br><br>Кто как :)<br><br>&gt; накрутили 6 плюсов<br><br>Держите седьмой для ровного счёта.<br>