Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению"	+/–
Сообщение от opennews (?), 21-Мрт-22, 17:19
В CRI-O, альтернативном runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти  изоляцию  и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий  может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56886
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от . (?), 21-Мрт-22, 17:19	+21 +/–
изолированные контейнеры опять неизолированные, да что ж такое-то...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #6, #15, #16

2. Сообщение от CPU Load (?), 21-Мрт-22, 17:23	+6 +/–
Какая изоляция, такие и контейнеры. Протекает изоляция местами ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #19, #20

5. Сообщение от Аноним (5), 21-Мрт-22, 17:57	–1 +/–
> альтернативном runtime для управления изолированными контейнерами альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад. Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет. Короче, "альтернативным" cri-o неправильно называть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8, #12

6. Сообщение от Аноним (6), 21-Мрт-22, 18:01	+2 +/–
А безопасные языки небезопасны. Мир несправедлив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

7. Сообщение от Аноним (6), 21-Мрт-22, 18:05	+/–
Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться.  Это всё та же история с системд только про кубер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9

8. Сообщение от Аноним (8), 21-Мрт-22, 18:27	+4 +/–
containerd все же де-факто стандарт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

9. Сообщение от Аноним (9), 21-Мрт-22, 18:32	+/–
Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm. Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10

10. Сообщение от Аноним (6), 21-Мрт-22, 18:51	+1 +/–
Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно.  Вот и имеем nih-синдромы из всех щелей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Аноним (6), 21-Мрт-22, 18:54	+/–
Это не на долго.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13

12. Сообщение от Аноним (13), 21-Мрт-22, 18:56	+2 +/–
> Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет. Да ладно! containerd остался дефолтом и наследником докера. CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #14

13. Сообщение от Аноним (13), 21-Мрт-22, 18:57	+1 +/–
Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

14. Сообщение от Аноним (14), 21-Мрт-22, 19:11	+/–
>они даже не парятся о кросс-дистрибутивной поддержке. Это потому все наработки по cri-o пилятся в opensuse?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

15. Сообщение от BorichL (ok), 21-Мрт-22, 19:28	+/–
"Добро пожаловать в реальный мир, Нео" (с)   :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

16. Сообщение от Аноним (-), 21-Мрт-22, 19:52	+/–
Безопастность по игогошному, как то > указав обработчик типа "|/bin/sh -c 'команды'".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17

17. Сообщение от MaleDog (?), 21-Мрт-22, 20:18	+1 +/–
Не очень понял при чем здесь go. os/exec конструкцию "ls | grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #18

18. Сообщение от Аноним (-), 21-Мрт-22, 20:40	+1 +/–
Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от Аноним (19), 21-Мрт-22, 21:14	+2 +/–
Троянская изоляция.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

20. Сообщение от InuYasha (??), 21-Мрт-22, 21:47	+/–
Пробивает. Киловольт на сантиметр )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

21. Сообщение от InuYasha (??), 21-Мрт-22, 21:49	+/–
Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

22. Сообщение от hohax (?), 21-Мрт-22, 22:36	+/–
Ой ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от nvidiaamd (?), 22-Мрт-22, 00:19	+/–
Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #24

24. Сообщение от Аноним (24), 22-Мрт-22, 11:14	+/–
Куб работает со всем, что поддерживает стандарт CRI. Люди пользуются только тем, что поддерживает стандарт OCI. containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #25

25. Сообщение от Аноним (-), 22-Мрт-22, 15:50	+/–
И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #26, #27

26. Сообщение от Онаним (?), 23-Мрт-22, 10:07	+/–
Да ладно, не трожьте болезненный merit bloat.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от rhbm (?), 24-Мрт-22, 17:04	+/–
> И какие организации стандартизации подписались за "стандарты"? Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт! И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше. А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема