История изменений
Исправление i586, (текущая версия) :
Нет. Если я правильно прочитал PoC, проблема не в контейнерах и не в нарушениии «изоляции», а как раз в том, что при использовании контейнера
какие-нибудь лишние capabilities
делают возможной эксплуатацию бага в netfilter. Насколько я понял, CAP_NET_ADMIN позволит эксплуатировать баг вне всяких контейнеров.
Это ровно тот случай, когда использование контейнера создает новые условия для атаки (не на контейнер).
Исправление i586, :
Нет. Если я правильно прочитал PoC, проблема не в контейнерах и не в нарушениии «изоляции», а как раз в том, что при использовании контейнера
какие-нибудь лишние capabilities
делают возможным эксплуатацию бага в netfilter. Насколько я понял, CAP_NET_ADMIN позволит эксплуатировать баг вне всяких контейнеров.
Это ровно тот случай, когда использование контейнера создает новые условия для атаки (не на контейнер).
Исправление i586, :
Нет. Если я правильно прочитал PoC, проблема не в контейнерах и не в нарушениии «изоляции», а как раз в том, что при использовании контейнера
какие-нибудь лишние capabilities
делают возможным эксплуатацию бага в netfilter. Насколько я понял, CAP_NET_ADMIN позволит эксплуатировать баг вне всяких контейнеров.
Это ровно тот случай, когда использование контейнера создает условия для атаки (не на контейнер).
Исходная версия i586, :
Нет. Если я правильно прочитал PoC, проблема не в контейнерах и не в нарушениии «изоляции», а как раз в том, что при использовании контейнера
какие-нибудь лишние capabilities
делают возможным эксплуатацию бага в netfilter. Насколько я понял, CAP_NET_ADMIN позволит эксплуатировать баг вне всяких контейнеров.
Это ровно тот случай, когда использование контейнера создает условия для атаки.