LINUX.ORG.RU

Обнаружена критическая уязвимость в OpenVZ

 , ,


0

4

В Сети появилась информация об обнаружении критической уязвимости в OpenVZ — популярной реализации технологии виртуализации на уровне операционной системы, базирующейся на ядре Linux.

Уязвимость, которой уже присвоен код CVE-2014-3519, кроется в функции open_by_handle_at(), позволяющей через структуру file_handle получить доступ к файлам на смонтированной файловой системе. Имея права рута внутри контейнера (а они обычно предоставляются хостером), злоумышленник может обойти ограничения файловой системы simfs и получить полный доступ к основной файловой системе (например, другим контейнерам).

Уязвимы все версии OpenVZ, основанные на RHEL6 и использующие файловую систему simfs. Доступно исправление от разработчиков.

Похожая уязвимость, позволяющая выйти за пределы контейнеров, недавно была выявлена и в системе контейнерной виртуализации Docker.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: CYB3R (всего исправлений: 2)
Ответ на: комментарий от slamd64

Всё-таки, это довольно редкое явление.

насколько оно частое в случае openvz? когда была предыдущая уязвимость подобного рода? или приходим к тому что дыра в гипервизоре и дыра в --(не знаю где тут дыра, похоже какой-то стандартный компонент ядра) все же имеют примерно сравнимую вероятность появления?

у openvz есть всего пара существенных плюсов, которые в подходящих ситуациях делают их превалирующими над всем остальным - простота и малый оверхед, ну т.е. совсем малый, втч разделяемая память.

prizident ★★★★★
()
Последнее исправление: prizident (всего исправлений: 1)
Ответ на: комментарий от YAR

Щито? Какон отношение RH имеет к OpenVZ? Он разрабатывался всегда одно и той же командой, просто на разных ветках ядер.

nrg
()
Ответ на: комментарий от nrg

Ок, похоже, не так выразился - не знаю подробностей внутренней кухни, но раньше была самостоятельная ветка, не RH-based. Сейчас осталась только она - http://openvz.org/Download/kernel

YAR ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.