ProHoster > Blog > talafou initaneti > FaŹ»afitauli i le runc e mafai ai ona sola ese mai pusa Docker ma Kubernetes

FaŹ»afitauli i le runc e mafai ai ona sola ese mai pusa Docker ma Kubernetes

I le runc toolkit mo le faŹ»aogaina o koneteina tuŹ»ufua faŹ»aaogaina i Docker ma Kubernetes, na maua ai se faŹ»afitauli CVE-2024-21626, lea e mafai ai ona avanoa i le faila faila o le siosiomaga talimalo mai se atigipusa tuŹ»ufua. I le taimi o se osofaŹ»iga, e mafai e se tagata osofaŹ»i ona faŹ»auluina nisi o faila faŹ»apipiŹ»i i totonu o le siosiomaga talimalo ma faŹ»apea ona ausia le faŹ»atinoina o lana code i fafo atu o le pusa. I le runtime crun ma youki, lea e faŹ»aaoga runc, faŹ»apea foŹ»i ma le LXC, e le o aliali mai le faŹ»afitauli. O le faŹ»afitauli na faŹ»amautu i le runc 1.1.12.

Pe a faŹ»aaogaina meafaigaluega a Docker poŹ»o Kubernetes, e mafai ona faia se osofaŹ»iga e ala i le saunia o se ata faŹ»apipiŹ»i faŹ»apitoa, pe a maeŹ»a faŹ»apipiŹ»i ma faŹ»alauiloa lea e mafai ona maua ai se FS fafo mai le koneteina. A faŹ»aaogaina Docker, e mafai ona faŹ»aogaina e ala i se Dockerfile faŹ»apitoa. E mafai foi ona fa'aogaina le fa'aletonu pe a fa'alauiloa faiga i totonu o se atigipusa e fa'aaoga ai le fa'atonuga "runc exec" e ala i le fa'amauina o le lisi galue i le igoa avanoa o le siosiomaga talimalo.

O le fa'aletonu e mafua mai i le le'o o fa'amatalaga faila i totonu. A'o le'i fa'aogaina le code i totonu o le koneteina, tapuni uma e runc fa'amatalaga faila e fa'aaoga ai le fu'a O_CLOEXEC. Ae peita'i, o le fa'ataunu'uina mulimuli ane o le setcwd() e tu'u ai se fa'amatalaga faila e tatala e fa'asino i le lisi o galuega ma fa'aauau pea ona avanoa pe a uma le koneteina. Ole tele o fa'ata'ita'iga fa'avae mo le osofa'ia o le si'osi'omaga talimalo e fa'aaoga ai le fa'amatalaga faila o lo'o totoe na fa'atūina.

Mo se faŹ»ataŹ»itaŹ»iga, e mafai e se tagata osofaŹ»i ona faŹ»amaonia se parakalafa process.cwd i le ata o le koneteina e faŹ»asino i le "/proc/self/fd/7/", lea o le a iŹ»u ai i le fusifusia e faŹ»agasolo ai le pid1 i totonu o le lisi o galuega a le koneteina, o loŹ»o i totonu o le siosiomaga talimalo. mauga avanoa. O le mea lea, i totonu o le ata atigipusa, e mafai ona e faŹ»atulagaina le faŹ»alauiloaina o le "/proc/self/fd/7/../../../bin/bash" ma, e ala i le faŹ»atinoina o se atigi tusitusiga, toe tusi mea o loŹ»o i totonu o ā€œ/proc/self/exeā€, e faasino i le kopi a le talimalo o le /bin/bash.

O le isi osofa'iga e mafai ai ona fa'agata se tagata osofa'i i totonu o se atigipusa e maua ai le avanoa i le lisi o le siosiomaga talimalo pe a fai o fa'agasologa fa'apitoa o lo'o fa'agasolo i totonu o le koneteina fa'apitoa e fa'aaoga ai le runc exec command ma le filifiliga --cwd. E mafai e se tagata osofaŹ»i ona sui le ala o le faŹ»alauiloaina o le faŹ»agasologa ma se fesoŹ»otaŹ»iga faŹ»atusa e faasino i le "/proc/self/fd/7/" ma ausia le tatalaina o le "/ proc/$exec_pid/cwd" e maua ai le FS i le itu talimalo. E mafai foi e se tagata osofaia ona ausia le togiina o faila faila i le itu o le siosiomaga talimalo e ala i le faatulagaina o le faalauiloaina o le faila faila mai le siosiomaga talimalo ("/proc/self/fd/7/../../../bin/ bash") ona toe tusi lea o le faila "/proc/$pid/exe", lea e faasino i le faila faila.

E le gata i lea, e lima isi faŹ»afitauli ua faŹ»aalia i vaega o le Docker toolkit:

  • CVE-2024-23651 o se tu'uga tu'uga i le BuildKit afifi na fa'aogaina e Docker e fa'aliliu ai le fa'ailoga fa'ailoga e fausia ai mea. O le faŹ»afitauli e mafua mai i le faŹ»aaogaina o se tasi o mauga masani faŹ»atasi ma se faŹ»aoga ("-mount = type = cache, source =") i le faŹ»atulagaina o laŹ»asaga faufale, lea e mafai ai, pe a faŹ»atulagaina se Dockerfile faŹ»apitoa i le BuildKit, avanoa i faila. i totonu o le siosiomaga talimalo mai le pusa faufale. Ua fa'amauina le fa'aletonu ile BuildKit 0.12.5.
  • CVE-2024-23652 O se mea sese i le tapeina o faila gaogao na faia mo se faŹ»amaufaŹ»ailoga pe a faŹ»aogaina le "--mount" filifiliga e mafai ai ona tapeina se faila i fafo atu o le koneteina pe a faŹ»aogaina se Dockerfile faŹ»apitoa. Ua fa'amauina le fa'aletonu ile BuildKit 0.12.5.
  • CVE-2024-23653 O se fa'aletonu i le fa'atinoga o le API i le BuildKit e mafai ai ona fa'ataunu'uina le fa'atinoina o koneteina ma fa'amanuiaga maualuga, tusa lava po'o le a le tulaga o le saogalemu.le saogalemu. Ua fa'amauina le fa'aletonu ile BuildKit 0.12.5.
  • CVE-2024-23650 Ose tagata fa'atau leaga a le BuildKit po'o le pito i luma e mafai ona fa'alavelaveina le fa'agasologa o le BuildKit i tua. Ua fa'amauina le fa'aletonu ile BuildKit 0.12.5.
  • O le CVE-2024-24557 o se mea e ono fa'a'ona i totonu o Moby, o se vaega mo le fausiaina o faiga fa'apitoa e tu'uesea ai pusa. E ala i le faŹ»atulagaina o se ata faŹ»apipiŹ»i faŹ»apitoa, e mafai ona e faŹ»aogaina faŹ»amaumauga e mafai ona faŹ»aaogaina i laasaga o le fausiaina mulimuli ane. Ua fa'amauina le fa'aletonu i le Moby 25.0.2 ma le 24.0.9.

puna: opennet.ru

FaŹ»atau talimalo faŹ»atuatuaina mo nofoaga ma DDoS puipuiga, VPS VDS servers šŸ”„ Fa'atau le 'upega tafa'ilagi talimalo fa'atuatuaina ma le puipuiga DDoS, 'au'aunaga VPS VDS | ProHoster