рдиреЗрдЯрдлрд┐рд▓реНрдЯрд░, рдиреЗрдЯрд╡рд░реНрдХ рдкреЕрдХреЗрдЯ рдлрд┐рд▓реНрдЯрд░ рдЖрдгрд┐ рд╕реБрдзрд╛рд░рд┐рдд рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рд╡рд╛рдкрд░рд▓реНрдпрд╛ рдЬрд╛рдгрд╛рд░реНтАНрдпрд╛ рд▓рд┐рдирдХреНрд╕ рдХрд░реНрдирд▓рдЪреА рдЙрдкрдкреНрд░рдгрд╛рд▓реА, рдПрдХ рдЕрд╕реБрд░рдХреНрд╖рд╛ рдЖрд╣реЗ (CVE рдирд┐рдпреБрдХреНрдд рдХреЗрд▓реЗрд▓реЗ рдирд╛рд╣реА) рдЬреЗ рд╕реНрдерд╛рдирд┐рдХ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд▓рд╛ рдХрд░реНрдирд▓ рд╕реНрддрд░рд╛рд╡рд░ рдХреЛрдб рдХрд╛рд░реНрдпрд╛рдиреНрд╡рд┐рдд рдХрд░рдгреНрдпрд╛рд╕ рдЖрдгрд┐ рд╕рд┐рд╕реНрдЯрдорд╡рд░ рддреНрдпрд╛рдВрдЪреЗ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡рд╛рдврд╡рд┐рдгреНрдпрд╛рд╕ рдЕрдиреБрдорддреА рджреЗрддреЗ. рд╕рдВрд╢реЛрдзрдХрд╛рдВрдиреА рдПрдХ рд╢реЛрд╖рдг рджрд╛рдЦрд╡реВрди рджрд┐рд▓реЗ рдЖрд╣реЗ рдЬреНрдпрд╛рдореБрд│реЗ рд╕реНрдерд╛рдирд┐рдХ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рд▓рд╛ 22.04-5.15.0-рдЬреЗрдиреЗрд░рд┐рдХ рдХрд░реНрдирд▓рд╕рд╣ рдЙрдмрдВрдЯреВ 39 рдордзреНрдпреЗ рдореВрд│ рдЕрдзрд┐рдХрд╛рд░ рдорд┐рд│реВ рд╢рдХрддрд╛рдд. рд╕реБрд░реБрд╡рд╛рддреАрд▓рд╛, рдЕрд╕реБрд░рдХреНрд╖рд┐рддрддреЗрдмрджреНрджрд▓рдЪреА рдорд╛рд╣рд┐рддреА 15 рдСрдЧрд╕реНрдЯ рд░реЛрдЬреА рдкреНрд░рдХрд╛рд╢рд┐рдд рдХрд░рдгреНрдпрд╛рдЪреЗ рдирд┐рдпреЛрдЬрд┐рдд рд╣реЛрддреЗ, рдкрд░рдВрддреБ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдореЗрд▓рд┐рдВрдЧ рд╕реВрдЪреАрдордзреНрдпреЗ рд╢реЛрд╖рдгрд╛рдЪреНрдпрд╛ рдкреНрд░реЛрдЯреЛрдЯрд╛рдЗрдкрд╕рд╣ рдкрддреНрд░рд╛рдЪреА рдХреЙрдкреА рдХреЗрд▓реНрдпрд╛рдореБрд│реЗ, рдорд╛рд╣рд┐рддреА рдкреНрд░рдХрдЯреАрдХрд░рдгрд╛рд╡рд░реАрд▓ рдмрдВрджреА рдЙрдард╡рдгреНрдпрд╛рдд рдЖрд▓реА.
5.8 рдХрд░реНрдирд▓ рдкрд╛рд╕реВрди рд╣реА рд╕рдорд╕реНрдпрд╛ рд╕реНрдкрд╖реНрдЯ рдЭрд╛рд▓реА рдЖрд╣реЗ рдЖрдгрд┐ nf_tables рдореЙрдбреНрдпреВрд▓рдордзреАрд▓ рд╕реЗрдЯ рд╕реВрдЪреА рд╣рд╛рддрд╛рд│рдгреНрдпрд╛рд╕рд╛рдареА рдХреЛрдбрдордзреАрд▓ рдмрдлрд░ рдУрд╡реНрд╣рд░рдлреНрд▓реЛрдореБрд│реЗ рдЙрджреНрднрд╡рд▓реА рдЖрд╣реЗ, рдЬреА nft_set_elem_init рдлрдВрдХреНрд╢рдирдордзреНрдпреЗ рдпреЛрдЧреНрдп рддрдкрд╛рд╕рдгреАрдЪреНрдпрд╛ рдЕрднрд╛рд╡рд╛рдореБрд│реЗ рдЙрджреНрднрд╡рд▓реА рдЖрд╣реЗ. рдмрдЧ рдПрдХрд╛ рдмрджрд▓рд╛рдордзреНрдпреЗ рд╕рд╛рджрд░ рдХреЗрд▓рд╛ рдЧреЗрд▓рд╛ рдЬреНрдпрд╛рдиреЗ рд╕реВрдЪреА рдЖрдпрдЯрдорд╕рд╛рдареА рд╕реНрдЯреЛрд░реЗрдЬ рдХреНрд╖реЗрддреНрд░ 128 рдмрд╛рдЗрдЯреНрд╕рдкрд░реНрдпрдВрдд рд╡рд╛рдврд╡рд▓реЗ.
рд╣рд▓реНрд▓рд╛ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, nftables рдордзреНрдпреЗ рдкреНрд░рд╡реЗрд╢ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рдЬреЛ рддреБрдордЪреНрдпрд╛рдХрдбреЗ CLONE_NEWUSER, CLONE_NEWNS рдХрд┐рдВрд╡рд╛ CLONE_NEWNET рдЕрдзрд┐рдХрд╛рд░ рдЕрд╕рд▓реНрдпрд╛рд╕ рд╡реЗрдЧрд│реНрдпрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдиреЗрдорд╕реНрдкреЗрд╕рдордзреНрдпреЗ рдорд┐рд│реВ рд╢рдХрддреЛ (рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдЬрд░ рддреБрдореНрд╣реА рд╡реЗрдЧрд│рд╛ рдХрдВрдЯреЗрдирд░ рдЪрд╛рд▓рд╡реВ рд╢рдХрддрд╛). рдирд┐рд░рд╛рдХрд░рдг рдЕрджреНрдпрд╛рдк рдЙрдкрд▓рдмреНрдз рдирд╛рд╣реА. рдирд┐рдпрдорд┐рдд рд╕рд┐рд╕реНрдЯреАрдорд╡рд░реАрд▓ рднреЗрджреНрдпрддреЗрдЪреЗ рд╢реЛрд╖рдг рд░реЛрдЦрдгреНрдпрд╛рд╕рд╛рдареА, рддреБрдореНрд╣реА рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдирд╕рд▓реЗрд▓реНрдпрд╛ рд╡рд╛рдкрд░рдХрд░реНрддреНрдпрд╛рдВрд╕рд╛рдареА рдиреЗрдорд╕реНрдкреЗрд╕реЗрд╕ рддрдпрд╛рд░ рдХрд░рдгреНрдпрд╛рдЪреА рдХреНрд╖рдорддрд╛ рдЕрдХреНрд╖рдо рдХреЗрд▓реНрдпрд╛рдЪреЗ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рд╛ (тАЬsudo sysctl -w kernel.unprivileged_userns_clone=0тАЭ).
рд╕реНрддреНрд░реЛрдд: opennet.ru