LINUX.ORG.RU

Обнаружена критическая уязвимость в OpenVZ

 , ,


0

4

В Сети появилась информация об обнаружении критической уязвимости в OpenVZ — популярной реализации технологии виртуализации на уровне операционной системы, базирующейся на ядре Linux.

Уязвимость, которой уже присвоен код CVE-2014-3519, кроется в функции open_by_handle_at(), позволяющей через структуру file_handle получить доступ к файлам на смонтированной файловой системе. Имея права рута внутри контейнера (а они обычно предоставляются хостером), злоумышленник может обойти ограничения файловой системы simfs и получить полный доступ к основной файловой системе (например, другим контейнерам).

Уязвимы все версии OpenVZ, основанные на RHEL6 и использующие файловую систему simfs. Доступно исправление от разработчиков.

Похожая уязвимость, позволяющая выйти за пределы контейнеров, недавно была выявлена и в системе контейнерной виртуализации Docker.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: CYB3R (всего исправлений: 2)
Ответ на: комментарий от Reset

Все эти чруты на стероидах одна большая дырень, а не «виртуализация».

Безопасность допилят. Зато не надо кучу ядер витуализировать и кучу виртуальных блочных устройств создавать: оверхед минимальный, скорость максимальная.

xorik ★★★★★
()
Последнее исправление: xorik (всего исправлений: 1)
Ответ на: комментарий от xorik

Блочные устройства, внезапно, можно пробросить.

anonymous
()
Ответ на: комментарий от xorik

Зато не надо кучу ядер витуализировать и кучу виртуальных блочных устройств создавать: оверхед минимальный, скорость максимальная.

А что, таки нет другого варианта?

loz ★★★★★
()
Ответ на: комментарий от xorik

IMHO, когда «не надо кучу ядер витуализировать», подойдет и обычный чрут. Можно использовать всем известные и простые методы - вырезать запись о root (0:0) в /etc/passwd, не запускать внутри чрута софт от рута и т. д.

Когда же секурность таки требуется, то от нормальной виртуалки никуда не денешься.

slamd64 ★★★★★
()
Ответ на: комментарий от slamd64

Когда же секурность таки требуется, то от нормальной виртуалки никуда не денешься.

Прямо таки никуда?

loz ★★★★★
()
Ответ на: комментарий от slamd64

Нууу... Дыра в гипервизоре - это, всё-таки, существенно сложнее!

ну вот год или два назад была уязвимость в xen, которая позволяла выходить за рамки гостя. что-то там с устройствами было связано. так что настоящие виртуалки не особо панацея.
с другой стороны у openvz в своем классе пока нет конкурентов. lxc пыжится, но пока толку нет. самсунь что-то там новое продвигает на андроидах, может когда-то из него что-то выжмут, а пока только Openvz.

prizident ★★★★★
()
Ответ на: комментарий от prizident

Про андроиды

Из андроидного в ядре по большому счёту только binder. Что на его основе можно виртуализировать

seyko2
()
Ответ на: комментарий от slamd64

Всё-таки, это довольно редкое явление.

насколько оно частое в случае openvz? когда была предыдущая уязвимость подобного рода? или приходим к тому что дыра в гипервизоре и дыра в --(не знаю где тут дыра, похоже какой-то стандартный компонент ядра) все же имеют примерно сравнимую вероятность появления?

у openvz есть всего пара существенных плюсов, которые в подходящих ситуациях делают их превалирующими над всем остальным - простота и малый оверхед, ну т.е. совсем малый, втч разделяемая память.

prizident ★★★★★
()
Последнее исправление: prizident (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.