рдкрдЫрд┐рд▓реНрд▓реЛ рд╢рдирд┐рдмрд╛рд░, рдореЗ 18, рдХреЗрдиреНрдирд╛ рд╕реБрд░рдХреНрд╖рд╛ рдХреЛ рдЬреЗрд░реА рдЧреНрдпрд╛рдореНрдмрд▓рд┐рди
рдЕрд▓реНрдкрд╛рдЗрди рд╕рдВрдЧ рдкреГрд╖реНрдарднреВрдорд┐
рдорд┐рдиреА-рдЕрдиреБрд╕рдиреНрдзрд╛рдирдХреЛ рдХрд╛рд░рдг рдерд┐рдпреЛ Talos Vulnerability Report рдЬреБрди рдпрд╕ рдорд╣рд┐рдирд╛рдХреЛ рд╕реБрд░реБрдорд╛ рджреЗрдЦрд╛ рдкрд░реНтАНрдпреЛ (
"рдЕрд▓реНрдкрд╛рдЗрди рд▓рд┐рдирдХреНрд╕ рдбрдХрд░ рдЫрд╡рд┐рд╣рд░реВрдХреЛ рдЖрдзрд┐рдХрд╛рд░рд┐рдХ рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ (v3.3 рдкрдЫрд┐) рдорд╛ рд░реВрдЯ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рд▓рд╛рдЧрд┐ рдПрдХ NULL рдкрд╛рд╕рд╡рд░реНрдб рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрджрдЫред рдпреЛ рдЬреЛрдЦрд┐рдо рдбрд┐рд╕реЗрдореНрдмрд░ 2015 рдорд╛ рдкреЗрд╢ рдЧрд░рд┐рдПрдХреЛ рдкреНрд░рддрд┐рдЧрдордирдХреЛ рдкрд░рд┐рдгрд╛рдо рд╣реЛред рдпрд╕рдХреЛ рд╕рд╛рд░ рдпреЛ рд╣реЛ рдХрд┐ рдХрдиреНрдЯреЗрдирд░рдорд╛ рдЕрд▓реНрдкрд╛рдЗрди рд▓рд┐рдирдХреНрд╕рдХреЛ рд╕рдорд╕реНрдпрд╛рдЧреНрд░рд╕реНрдд рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ рд░ Linux PAM рд╡рд╛ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдбрд╛рдЯрд╛рдмреЗрд╕рдХреЛ рд░реВрдкрдорд╛ рдкреНрд░рдгрд╛рд▓реА рдЫрд╛рдпрд╛ рдлрд╛рдЗрд▓ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдЕрд░реНрдХреЛ рдореЗрдХрд╛рдирд┐рдЬрдо рдкреНрд░рдпреЛрдЧ рдЧрд░реА рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВрд▓реЗ рд░реВрдЯ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рд▓рд╛рдЧрд┐ NULL рдкрд╛рд╕рд╡рд░реНрдб рд╕реНрд╡реАрдХрд╛рд░ рдЧрд░реНрди рд╕рдХреНрдЫред"
рд╕рдорд╕реНрдпрд╛рдХреЛ рд▓рд╛рдЧрд┐ рдкрд░реАрдХреНрд╖рдг рдЧрд░рд┐рдПрдХреЛ рдЕрд▓реНрдкрд╛рдЗрдирд╕рдБрдЧ рдбрдХрд░ рдЫрд╡рд┐рд╣рд░реВрдХреЛ рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВ 3.3тАУ3.9 рд╕рдорд╛рд╡реЗрд╢реА рдерд┐рдП, рд╕рд╛рдереИ рдХрд┐рдирд╛рд░рд╛рдХреЛ рдкрдЫрд┐рд▓реНрд▓реЛ рд░рд┐рд▓реАрдЬред
рд▓реЗрдЦрдХрд╣рд░реВрд▓реЗ рдкреНрд░рднрд╛рд╡рд┐рдд рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рдирд┐рдореНрди рд╕рд┐рдлрд╛рд░рд┐рд╕рд╣рд░реВ рдЧрд░реЗ:
"рдЕрд▓реНрдкрд╛рдЗрдирдХреЛ рд╕рдорд╕реНрдпрд╛рдЧреНрд░рд╕реНрдд рд╕рдВрд╕реНрдХрд░рдгрд╣рд░реВрдмрд╛рдЯ рдирд┐рд░реНрдорд┐рдд рдбрдХрд░ рдЫрд╡рд┐рд╣рд░реВрдорд╛ рдореВрд▓ рдЦрд╛рддрд╛ рд╕реНрдкрд╖реНрдЯ рд░реВрдкрдорд╛ рдЕрд╕рдХреНрд╖рдо рд╣реБрдиреБрдкрд░реНрдЫред рдЬреЛрдЦрд┐рдордХреЛ рд╕рдореНрднрд╛рд╡рд┐рдд рд╢реЛрд╖рдг рд╡рд╛рддрд╛рд╡рд░рдгрдорд╛ рдирд┐рд░реНрднрд░ рдЧрд░реНрджрдЫ, рдХрд┐рдирдХрд┐ рдпрд╕рдХреЛ рд╕рдлрд▓рддрд╛рд▓рд╛рдИ рд▓рд┐рдирдХреНрд╕ PAM рд╡рд╛ рдЕрдиреНрдп рд╕рдорд╛рди рд╕рдВрдпрдиреНрддреНрд░ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рдмрд╛рд╣реНрдп рд░реВрдкрдорд╛ рдлрд░реНрд╡рд╛рд░реНрдб рдЧрд░рд┐рдПрдХреЛ рд╕реЗрд╡рд╛ рд╡рд╛ рдЕрдиреБрдкреНрд░рдпреЛрдЧ рдЪрд╛рд╣рд┐рдиреНрдЫред"
рд╕рдорд╕реНрдпрд╛ рдерд┐рдпреЛ /etc/shadow
рд╡рд╛ рдкреНрдпрд╛рдХреЗрдЬ рд╣рд░рд╛рдЗрд░рд╣реЗрдХреЛ рдирд┐рд╢реНрдЪрд┐рдд рдЧрд░реНрдиреБрд╣реЛрд╕реН linux-pam
.
рдбрдХрд░ рд╣рдм рд╕рдВрдЧ рдЬрд╛рд░реА
рдЬреЗрд░реА рдЧреНрдпрд╛рдореНрдмрд▓рд┐рдирд▓реЗ "рдХрдиреНрдЯреЗрдирд░рд╣рд░реВрдорд╛ рд╢реВрдиреНрдп рдкрд╛рд╕рд╡рд░реНрдбрд╣рд░реВ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдЕрднреНрдпрд╛рд╕ рдХрддреНрддрд┐рдХреЛ рд╕рд╛рдорд╛рдиреНрдп рд╣реБрди рд╕рдХреНрдЫ" рднрдиреЗрд░ рдЙрддреНрд╕реБрдХ рд╣реБрдиреЗ рдирд┐рд░реНрдгрдп рдЧрд░реЗред рдпрд╕рдХрд╛ рд▓рд╛рдЧрд┐ рдЙрдирд▓реЗ рд╕рд╛рдиреЛ рд▓реЗрдЦреЗ
- рдбрдХрд░ рд╣рдмрдорд╛ API рдорд╛ рдХрд░реНрд▓ рдЕрдиреБрд░реЛрдз рдорд╛рд░реНрдлрдд, рддреНрдпрд╣рд╛рдБ рд╣реЛрд╕реНрдЯ рдЧрд░рд┐рдПрдХрд╛ рдбрдХрд░ рдЫрд╡рд┐рд╣рд░реВрдХреЛ рд╕реВрдЪреА рдЕрдиреБрд░реЛрдз рдЧрд░рд┐рдПрдХреЛ рдЫ;
- jq рдорд╛рд░реНрдлрдд рдпрд╕рд▓рд╛рдИ рдХреНрд╖реЗрддреНрд░ рдЕрдиреБрд╕рд╛рд░ рдХреНрд░рдордмрджреНрдз рдЧрд░рд┐рдПрдХреЛ рдЫ
popularity
, рд░ рдкреНрд░рд╛рдкреНрдд рдкрд░рд┐рдгрд╛рдордмрд╛рдЯ, рдкрд╣рд┐рд▓реЛ рд╣рдЬрд╛рд░ рдмрд╛рдБрдХреА рдЫ; - рддрд┐рдиреАрд╣рд░реВ рдкреНрд░рддреНрдпреЗрдХрдХреЛ рд▓рд╛рдЧрд┐ рдпреЛ рдкреВрд░рд╛ рднрдПрдХреЛ рдЫ
docker pull
; - рдбрдХрд░ рд╣рдмрдмрд╛рдЯ рдкреНрд░рд╛рдкреНрдд рдкреНрд░рддреНрдпреЗрдХ рдЫрд╡рд┐рдХреЛ рд▓рд╛рдЧрд┐ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЧрд░рд┐рдПрдХреЛ рдЫ
docker run
рдлрд╛рдЗрд▓рдмрд╛рдЯ рдкрд╣рд┐рд▓реЛ рд▓рд╛рдЗрди рдкрдвреНрджреИ/etc/shadow
; - рдпрджрд┐ string рдХреЛ рдорд╛рди рдмрд░рд╛рдмрд░ рдЫ
root:::0:::::
, рдЫрд╡рд┐рдХреЛ рдирд╛рдо рдЫреБрдЯреНрдЯреИ рдлрд╛рдЗрд▓рдорд╛ рдмрдЪрдд рдЧрд░рд┐рдПрдХреЛ рдЫред
рдХреЗ рднрдпреЛ? IN
"рдпрд╕ рд╕реВрдЪреАрдорд╛ рд╕рдмреИрднрдиреНрджрд╛ рдкреНрд░рд╕рд┐рджреНрдз рдирд╛рдорд╣рд░реВ рдордзреНрдпреЗ govuk/govermentpaas, hashicorp, microsoft, monsanto рд░ mesosphere рдерд┐рдПред рд░ kylemanna/openvpn рд╕реВрдЪреАрдорд╛ рд╕рдмреИрднрдиреНрджрд╛ рд▓реЛрдХрдкреНрд░рд┐рдп рдХрдиреНрдЯреЗрдирд░ рд╣реЛ, рдпрд╕рдХреЛ рддрдереНрдпрд╛рдЩреНрдХ рдХреБрд▓ 10 рдорд┐рд▓рд┐рдпрди рднрдиреНрджрд╛ рдмрдвреА рдкреБрд▓рд╣рд░реВред
рдпреЛ рд╕рдореНрдЭрдирд╛ рд▓рд╛рдпрдХ рдЫ, рддрдерд╛рдкрд┐, рдпреЛ рдШрдЯрдирд╛ рдЖрдлреИрдВрдорд╛ рддрд┐рдиреАрд╣рд░реВрдХреЛ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдкреНрд░рдгрд╛рд▓реАрд╣рд░реВрдХреЛ рд╕реБрд░рдХреНрд╖рд╛рдорд╛ рдкреНрд░рддреНрдпрдХреНрд╖ рдЬреЛрдЦрд┐рдордХреЛ рдорддрд▓рдм рд╣реЛрдЗрди: рдпреЛ рд╕рдмреИ рддрд┐рдиреАрд╣рд░реВ рдХрд╕рд░реА рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ рднрдиреНрдиреЗрдорд╛ рдирд┐рд░реНрднрд░ рдЧрд░реНрджрдЫред (рдорд╛рдерд┐рдХреЛ рдЕрд▓реНрдкрд╛рдЗрди рдХреЗрд╕рдмрд╛рдЯ рдЯрд┐рдкреНрдкрдгреА рд╣реЗрд░реНрдиреБрд╣реЛрд╕реН)ред рдпрджреНрдпрдкрд┐, рд╣рд╛рдореАрд▓реЗ "рдХрд╣рд╛рдиреАрдХреЛ рдиреИрддрд┐рдХрддрд╛" рдзреЗрд░реИ рдкрдЯрдХ рджреЗрдЦреЗрдХрд╛ рдЫреМрдВ: рд╕реНрдкрд╖реНрдЯ рд╕рд░рд▓рддрд╛рдорд╛ рдкреНрд░рд╛рдпрдГ рдирдХрд╛рд░рд╛рддреНрдордХ рдкрдХреНрд╖рд╣рд░реВ рд╣реБрдиреНрдЫрдиреН, рдЬреБрди рд╕рдзреИрдВ рд╕рдореНрдЭрдиреБ рдкрд░реНрдЫ рд░ рдЬрд╕рдХреЛ рдкрд░рд┐рдгрд╛рдорд╣рд░реВ рддрдкрд╛рдЗрдБрдХреЛ рдЯреЗрдХреНрдиреЛрд▓реЛрдЬреА рдЕрдиреБрдкреНрд░рдпреЛрдЧ рдкрд░рд┐рджреГрд╢реНрдпрд╣рд░реВрдорд╛ рдЦрд╛рддрд╛рдорд╛ рд▓рд┐рдЗрдиреНрдЫред
PS
рд╣рд╛рдореНрд░реЛ рдмреНрд▓рдЧрдорд╛ рдкрдирд┐ рдкрдвреНрдиреБрд╣реЛрд╕реН:
- ┬л
рдбрдХрд░ рд╣рдмрдорд╛ рдЫрд╡рд┐рд╣рд░реВрдорд╛ рдЕрдиреНрддрд░реНрдирд┐рд╣рд┐рдд рдЕрдкрд░реЗрдЯрд┐рдЩ рд╕рд┐рд╕реНрдЯрдорд╣рд░реВрдорд╛ рддрдереНрдпрд╛рдЩреНрдХрд╣рд░реВ ┬╗; - ┬л
рд╕реБрд░рдХреНрд╖рд╛-рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╡рд╛рддрд╛рд╡рд░рдгрдорд╛ рдбрдХрд░ рд░ Kubernetes ┬╗; - ┬л
Vulnerability CVE-2019-5736 runc рдорд╛, рдЬрд╕рд▓реЗ рддрдкрд╛рдИрдВрд▓рд╛рдИ рд╣реЛрд╕реНрдЯрдорд╛ рд░реВрдЯ рдЕрдзрд┐рдХрд╛рд░рд╣рд░реВ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдиреНрдЫред ┬╗; - ┬л
рдХрдордЬреЛрд░ рдбрдХрд░ VM - рдбрдХрд░ рд░ рдкреЗрдиреНрдЯреЗрд╕реНрдЯрд┐рдЩрдХреЛ рд▓рд╛рдЧрд┐ рдПрдХ рдкрдЬрд▓ рднрд░реНрдЪреБрдЕрд▓ рдореЗрд╕рд┐рди "ред
рд╕реНрд░реЛрдд: www.habr.com