เบกเบตเบเบฒเบเปเบเบตเบเปเบเบตเบเบฅเบฒเบเบฅเบฐเบญเบฝเบเบเบญเบเบเปเบญเบเปเบซเบงเป (CVE-2022-0492) เปเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเบเบปเบเปเบเบเบฒเบเบเบณเบเบฑเบเบเบฑเบเบเบฐเบเบฒเบเบญเบ cgroups v1 เปเบ Linux kernel, เปเบเบดเปเบเบชเบฒเบกเบฒเบเปเบเปเปเบเบทเปเบญเบซเบผเบปเบเปเบต containers เบเบตเปเปเบเบเบเปเบฝเบงเปเบเป. เบเบฑเบเบซเบฒเบกเบตเบขเบนเปเบเบฑเปเบเปเบเป Linux kernel 2.6.24 เปเบฅเบฐเบเบทเบเปเบเปเปเบเปเบ kernel releases 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266, เปเบฅเบฐ 4.9.301. เบเปเบฒเบเบชเบฒเบกเบฒเบเบเบดเบเบเบฒเบกเบเบฒเบเบเบดเบกเปเบเบตเบเปเบเปเบเบฒเบเบญเบฑเบเปเบเบเบเบธเบเปเบเบเบฒเบเปเบเบเบขเบฒเบเบขเบนเปเปเบเบซเบเปเบฒเปเบซเบผเบปเปเบฒเบเบตเป: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
เบเปเบญเบเปเบซเบงเปเปเบกเปเบเปเบเบทเปเบญเบเบกเบฒเบเบฒเบเบเบงเบฒเบกเบเบดเบเบเบฒเบเบเบฒเบเปเบซเบเบเบปเบเปเบเบเบปเบงเบเบฑเบเบเบฒเบเปเบเบฅเป release_agent เบเบตเปเบฅเบปเปเบกเปเบซเบฅเบงเปเบเบเบฒเบเบเบงเบเบชเบญเบเบเบตเปเปเบซเบกเบฒเบฐเบชเบปเบกเปเบเปเบงเบฅเบฒเบเบตเปเปเบฅเปเบเบเบปเบงเบเบฑเบเบเบฒเบเบเปเบงเบเบชเบดเบเบเบดเปเบเบฑเบกเบเบตเป. เปเบเบฅเป release_agent เบเบทเบเบเปเบฒเปเบเปเปเบเบทเปเบญเบเปเบฒเบเบปเบเปเบเบเบเบฒเบเบเบตเปเบเบฐเบเปเบฒเปเบเบตเบเบเบฒเบเปเบเบ kernel เปเบกเบทเปเบญเบเบฐเบเบงเบเบเบฒเบเปเบ cgroup เบเบทเบเบขเบธเบ. เปเบเบเบเบฒเบเบเบตเปเปเบฎเบฑเบเบงเบฝเบเปเบเบฑเบเบฎเบฒเบเปเบฅเบฐเบกเบต "เบเบงเบฒเบกเบชเบฒเบกเบฒเบ" เบเบฑเบเบซเบกเบปเบเปเบ namespace เบฎเบฒเบ. เบกเบฑเบเบชเบปเบกเบกเบธเบเบงเปเบฒเบกเบตเบเบฝเบเปเบเปเบเบนเปเปเบเบดเปเบเปเบเบเบฅเบฐเบเบปเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบฒเบเบเบฑเปเบเบเปเบฒ release_agent, เปเบเปเปเบเบเบงเบฒเบกเปเบเบฑเบเบเบดเบเบเบฒเบเบเบงเบเบชเบญเบเปเบเปเบเบทเบเบเปเบฒเบเบฑเบเบเบฝเบเปเบเปเปเบซเปเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบนเปเปเบเปเบฎเบฒเบ, เปเบเบดเปเบเบเปเปเปเบเปเบเบปเบเปเบงเบฑเปเบเบเบฒเบเบเบฑเปเบเบเปเบฒเบเบตเปเบเบทเบเบเปเบฝเบเบเบฒเบ container เบซเบผเบทเปเบเบเบเบนเปเปเบเปเบฎเบฒเบเปเบเบเบเปเปเบกเบตเบชเบดเบเบเบญเบเบเบนเปเปเบเบดเปเบเปเบเบเบฅเบฐเบเบปเบ (CAP_SYS_ADMIN. ).
เบเปเบญเบเบซเบเปเบฒเบเบตเป, เบฅเบฑเบเบชเบฐเบเบฐเบเบฑเปเบเบเปเบฒเบงเบเบฐเบเปเปเบเบทเบเบฎเบฑเบเบฎเบนเปเบงเปเบฒเปเบเบฑเบเบเปเบญเบเปเบซเบงเป, เปเบเปเบชเบฐเบเบฒเบเบฐเบเบฒเบเปเบเปเบเปเบฝเบเปเบเบเบเปเบงเบเบเบฒเบเบกเบฒเบฎเบญเบเบเบญเบ user namespaces (user namespaces), เปเบเบดเปเบเบเปเบงเบเปเบซเปเบเปเบฒเบเบชเบฒเบกเบฒเบเบชเปเบฒเบเบเบนเปเปเบเปเบฎเบฒเบเปเบเบเบเปเบฒเบเบซเบฒเบเปเบ containers เบเบตเปเบเปเป overlap เบเบฑเบเบเบนเปเปเบเปเบฎเบฒเบเบเบญเบ. เบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบปเปเบเบเป. เบเบฑเปเบเบเบฑเปเบ, เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบกเบเบต, เบกเบฑเบเบเบฝเบเบเปเบเบตเปเบเบฐเปเบเบทเปเบญเบกเบเปเปเบเบปเบงเบเบฑเบเบเบฒเบ release_agent เบเบญเบเบเปเบฒเบเปเบเบเบฑเบเบเบตเปเบกเบตเบเบนเปเปเบเปเบฎเบฒเบเบเบญเบเบเบปเบเปเบญเบเบขเบนเปเปเบเบเบทเปเบเบเบตเป ID เบเบนเปเปเบเปเปเบเบเบเปเบฒเบเบซเบฒเบ, เปเบเบดเปเบ, เบซเบผเบฑเบเบเบฒเบเบชเปเบฒเปเบฅเบฑเบเบเบฐเบเบงเบเบเบฒเบ, เบเบฐเบเบทเบเบเบฐเบเบดเบเบฑเบเบเปเบงเบเบชเบดเบเบเบดเบญเบฑเบเปเบเบฑเบกเบเบตเปเบเบญเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบปเปเบเบเป.
เปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ, cgroupfs เบเบทเบเบเบดเบเบเบฑเปเบเบขเบนเปเปเบ container เปเบเปเบซเบกเบเบญเปเบฒเบเปเบเบปเปเบฒเบเบฑเปเบ, เปเบเปเบเปเปเบกเบตเบเบฑเบเบซเบฒเบเบตเปเบเบฐเบเบดเบเบเบฑเปเบ pseudofs เบเบตเปเปเบซเบกเปเปเบเปเบซเบกเบเบเบฒเบเบเบฝเบเบเปเบฒเบเปเบฒเบเบกเบตเบชเบดเบ CAP_SYS_ADMIN เบซเบผเบทเปเบเบเบเบฒเบเบชเปเบฒเบ container เบเปเบญเบเบเบตเปเบกเบต namespace เบเบนเปเปเบเปเปเบเบเบเปเบฒเบเบซเบฒเบเปเบเบเปเบเปเบเบฒเบเปเบเบฅเบฐเบเบปเบ unshare, เปเบเบเบฑเปเบ เบชเบดเบเบเบด CAP_SYS_ADMIN เปเบกเปเบเบกเบตเปเบซเปเบชเบณเบฅเบฑเบเบเบฑเบเบเบธเบเบตเปเบชเปเบฒเบเบเบถเปเบ.
เบเบฒเบเปเบเบกเบเบตเบชเบฒเบกเบฒเบเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเปเบเปเบฒเบเปเบฒเบเบกเบตเบชเบดเบเบเบดเบเบญเบเบฎเบฒเบเบขเบนเปเปเบเบเบฑเบเบเบตเปเปเบเบเบเปเบฝเบงเบซเบผเบทเปเบเปเบงเบฅเบฒเบเบตเปเปเบฅเปเบเบเบฒเบเบฐเบเบฐเบเบตเปเบเปเปเบกเบตเบเบธเบ no_new_privs, เปเบเบดเปเบเบซเปเบฒเบกเบเบฒเบเปเบเปเบฎเบฑเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเบตเปเบกเปเบเบตเบก. เบฅเบฐเบเบปเบเบเปเบญเบเบกเบตเบเบฒเบเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบเบชเปเบฒเบฅเบฑเบ namespaces เบเบนเปเปเบเปเบเบตเปเบเบทเบเปเบเบตเบเปเบเป (เปเบเบตเบเปเบเปเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเปเบ Ubuntu เปเบฅเบฐ Fedora, เปเบเปเบเปเปเปเบเปเปเบเบตเบเปเบเปเปเบ Debian เปเบฅเบฐ RHEL) เปเบฅเบฐเบกเบตเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบ cgroup v1 เบเบญเบเบฎเบฒเบ (เบเบปเบงเบขเปเบฒเบ, Docker เปเบฅเปเบเบเบฑเบเบเบธเบขเบนเปเปเบเบฎเบฒเบ RDMA cgroup). เบเบฒเบเปเบเบกเบเบตเบเบฑเบเปเบเบฑเบเปเบเปเบเปเบเปเบฒเบเปเบฒเบเบกเบตเบชเบดเบเบเบด CAP_SYS_ADMIN, เปเบเบเปเบฅเบฐเบเบตเบเบตเปเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ namespaces เบเบนเปเปเบเปเปเบฅเบฐเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบ cgroup v1 root hierarchy เปเบกเปเบเบเปเปเบเปเบฒเปเบเบฑเบ.
เบเบญเบเปเบซเบเบทเบญเบเบฒเบเบเบฒเบเบซเบฅเบปเบเบซเบเบตเบเบฒเบเบเบฑเบเบเบตเปเปเบเบเบเปเบฝเบง, เบเปเบญเบเปเบซเบงเปเบเบฑเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบฐเบเบงเบเบเบฒเบเปเบเบตเบเบเบปเบงเปเบเบเบเบนเปเปเบเปเบฎเบฒเบเปเบเบเบเปเปเบกเบต "เบเบงเบฒเบกเบชเบฒเบกเบฒเบ" เบซเบผเบทเบเบนเปเปเบเปเปเบเปเบเบตเปเบกเบตเบชเบดเบเบเบด CAP_DAC_OVERRIDE (เบเบฒเบเปเบเบกเบเบตเบเปเบญเบเบเบฒเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเป /sys/fs/cgroup/*/release_agent, เปเบเบดเปเบเปเบกเปเบ. เปเบเบฑเบเปเบเบปเปเบฒเบเบญเบเปเบเบเบฎเบฒเบ) เปเบเบทเปเบญเปเบเบปเปเบฒเปเบเบดเบ "เบเบงเบฒเบกเบชเบฒเบกเบฒเบ" เบเบญเบเบฅเบฐเบเบปเบเบเบฑเบเบซเบกเบปเบ.
เบกเบฑเบเปเบเปเบเบทเบเบชเบฑเบเปเบเบเปเบซเบฑเบเบงเปเบฒเบเปเบญเบเปเบซเบงเปเบเปเปเบชเบฒเบกเบฒเบเบเบทเบเบเบนเบเบฎเบตเบเปเบเปเบงเบฅเบฒเบเบตเปเบเปเบฒเปเบเปเบเบปเบเปเบเบเบฒเบเบเบปเบเบเปเบญเบ Seccomp, AppArmor เบซเบผเบท SELinux เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบเบเบปเบงเบเบฑเบเบเบธเปเบเบตเปเบกเปเบเบตเบก, เปเบเบทเปเบญเบเบเบฒเบ Seccomp เบเบฑเบเบเบงเบฒเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบฒเบเปเบเบฅเบฐเบเบปเบ unshare() เปเบฅเบฐ AppArmor เปเบฅเบฐ SELinux เบเปเปเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบดเบเบเบฑเปเบ cgroupfs เปเบเปเบซเบกเบเบเบฒเบเบเบฝเบ.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru
