URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127061
[ Назад ]
Исходное сообщение
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению"
Отправлено opennews , 21-Мрт-22 17:19 
В CRI-O, альтернативном runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти  изоляцию  и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий  может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56886

Содержание
Сообщения в этом обсуждении
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено . , 21-Мрт-22 17:19 
изолированные контейнеры опять неизолированные, да что ж такое-то...

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено CPU Load , 21-Мрт-22 17:23 
Какая изоляция, такие и контейнеры. Протекает изоляция местами ))
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 21:14 
Троянская изоляция.
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено InuYasha , 21-Мрт-22 21:47 
Пробивает. Киловольт на сантиметр )
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:01 
А безопасные языки небезопасны. Мир несправедлив.  
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено BorichL , 21-Мрт-22 19:28 
"Добро пожаловать в реальный мир, Нео" (с)   :-)
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 19:52 
Безопастность по игогошному, как то
> указав обработчик типа "|/bin/sh -c 'команды'".
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено MaleDog , 21-Мрт-22 20:18 
Не очень понял при чем здесь go. os/exec конструкцию "ls | grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 20:40 
Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 17:57 
> альтернативном runtime для управления изолированными контейнерами

альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад.
Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.
Короче, "альтернативным" cri-o неправильно называть.

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:05 
Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться.  Это всё та же история с системд только про кубер.  
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:32 
Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm.

Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:51 
Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно.  Вот и имеем nih-синдромы из всех щелей.  
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:27 
containerd все же де-факто стандарт
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:54 
Это не на долго.  
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:57 
Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 18:56 
> Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.

Да ладно! containerd остался дефолтом и наследником докера.
CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 21-Мрт-22 19:11 
>они даже не парятся о кросс-дистрибутивной поддержке.

Это потому все наработки по cri-o пилятся в opensuse?

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено hohax , 21-Мрт-22 22:36 
Ой ли?
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено InuYasha , 21-Мрт-22 21:49 
Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено nvidiaamd , 22-Мрт-22 00:19 
Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 22-Мрт-22 11:14 
Куб работает со всем, что поддерживает стандарт CRI.
Люди пользуются только тем, что поддерживает стандарт OCI.
containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Аноним , 22-Мрт-22 15:50 
И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено Онаним , 23-Мрт-22 10:07 
Да ладно, не трожьте болезненный merit bloat.
"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."
Отправлено rhbm , 24-Мрт-22 17:04 
> И какие организации стандартизации подписались за "стандарты"?

Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт!

И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше.

А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.