Ao amin'ny Toolkit amin'ny fitantanana ireo kaontenera Docker Linux mitokana vulnerability (), izay, ao anatin'ny toe-javatra sasany, dia ahafahanao miditra amin'ny tontolon'ny mpampiantrano avy amin'ny kaontenera iray raha toa ianao ka manana fahafahana mandefa ny sarinao amin'ny rafitra na miaraka amin'ny fidirana amin'ny kaontenera mihazakazaka. Ny olana dia miseho amin'ny dikan-tenin'ny Docker rehetra ary mijanona ho tsy voavaha (natolotra, saingy tsy mbola ekena, , izay mampihatra ny fampiatoana ny kaontenera rehefa manao asa miaraka amin'ny FS).
Ny vulnerability dia ahafahan'ny rakitra alaina avy amin'ny kaontenera mankany amin'ny ampahany tsy misy dikany amin'ny rafitry ny rafitra mpampiantrano rehefa manatanteraka ny baiko "docker cp". Ny fitrandrahana rakitra dia atao miaraka amin'ny zon'ny faka, izay ahafahana mamaky na manoratra rakitra ao amin'ny tontolon'ny mpampiantrano, izay ampy hifehezana ny rafitra mpampiantrano (ohatra, azonao atao ny manoratra /etc/shadow).
Ny fanafihana dia tsy azo atao raha tsy rehefa manatanteraka ny baiko "docker cp" ny administratera handikana rakitra mankany na avy amin'ny container. Noho izany, ny mpanafika dia mila mandresy lahatra ny mpandrindra Docker amin'ny filàna hanaovana an'io asa io ary maminavina ny lalana ampiasaina amin'ny fanaovana kopia. Amin'ny lafiny iray, ny fanafihana dia azo atao, ohatra, rehefa manome fitaovana handikana ny rakitra fanamafisana ao anaty container ny serivisy rahona, namboarina tamin'ny baiko "docker cp".
Ny olana dia vokatry ny tsy fahampian'ny fampiharana ny asa , izay manisa ny lalana tanteraka ao amin'ny rafitra fichier fototra mifototra amin'ny lalana mifandraika, amin'ny fiheverana ny fametrahana ny kaontenera. Raha manatanteraka ny baiko "docker cp", fotoana fohy , izay efa voamarina ny lalana, saingy tsy mbola vita ny fandidiana. Koa satria ny fakana kopia dia atao ao anatin'ny tontolon'ny rafi-drakitra lehibe ao amin'ny rafitra mpampiantrano, ao anatin'ny fe-potoana voafaritra dia azonao atao ny manolo ny rohy amin'ny lalana hafa ary manomboka mandika ny angon-drakitra mankany amin'ny toerana tsy misy dikany ao amin'ny rafi-drakitra ivelan'ny rafitra. fitoeran-javatra.
Satria ny fe-potoana ho an'ny toe-javatra hazakazaka dia tena voafetra amin'ny voaomana Rehefa manao asa kopia avy amin'ny kaontenera iray dia azo atao ny nahatratra fanafihana nahomby tao anatin'ny latsaky ny 1% amin'ny tranga rehefa manolo ny rohy an'ohatra amin'ny lalana ampiasaina amin'ny asa kopia (ny fanafihana nahomby dia natao taorian'ny andrana 10 segondra teo ho eo. mba handika tsy tapaka ny rakitra ao anaty loop miaraka amin'ny baiko "docker cp").
Amin'ny fanaovana asa dika mitovy amin'ny fitoeran-javatra iray dia azonao atao ny manatratra ny fanafihana overwrite rakitra azo averina amin'ny rafitra mpampiantrano ao anatin'ny famerimberenana vitsivitsy fotsiny. Ny mety hisian'ny fanafihana dia noho ny zava-misy fa rehefa mandika ao anaty fitoeran-javatra iray dia ampiasaina ny foto-kevitra "chrootarchive", araka izay ny fizotran'ny archive.go dia mamoaka ny arisiva tsy ao amin'ny chroot ny fakan'ny container, fa ao amin'ny chroot of the lahatahiry ray aman-dreny amin'ny lalana kendrena, fehezin'ny mpanafika, ary tsy manakana ny famonoana ny fitoeran-javatra (chroot dia ampiasaina ho famantarana hanararaotra ny fepetran'ny hazakazaka).
Source: opennet.ru
