தனிமைப்படுத்தப்பட்ட லினக்ஸ் டோக்கர் கொள்கலன்களை நிர்வகிப்பதற்கான கருவித்தொகுப்பில் பாதிப்பு (), இது ஒரு குறிப்பிட்ட சூழ்நிலையில், உங்கள் படங்களை கணினியில் தொடங்கும் திறன் அல்லது இயங்கும் கொள்கலனுக்கான அணுகல் இருந்தால், ஒரு கொள்கலனில் இருந்து ஹோஸ்ட் சூழலை அணுக உங்களை அனுமதிக்கிறது. டோக்கரின் அனைத்துப் பதிப்புகளிலும் இந்தச் சிக்கல் தோன்றி, அது சரி செய்யப்படாமல் உள்ளது (முன்மொழியப்பட்டது, ஆனால் இன்னும் ஏற்றுக்கொள்ளப்படவில்லை, , இது FS உடன் செயல்பாடுகளைச் செய்யும்போது கொள்கலனின் இடைநீக்கத்தை செயல்படுத்துகிறது).
பாதிப்பு "docker cp" கட்டளையை இயக்கும் போது, ஹோஸ்ட் சிஸ்டத்தின் கோப்பு முறைமையின் தன்னிச்சையான பகுதிக்கு ஒரு கொள்கலனில் இருந்து கோப்புகளை பிரித்தெடுக்க அனுமதிக்கிறது. கோப்பு பிரித்தெடுத்தல் ரூட் உரிமைகளுடன் செய்யப்படுகிறது, இது ஹோஸ்ட் சூழலில் எந்த கோப்புகளையும் படிக்க அல்லது எழுதுவதை சாத்தியமாக்குகிறது, இது ஹோஸ்ட் அமைப்பின் கட்டுப்பாட்டைப் பெற போதுமானது (உதாரணமாக, நீங்கள் /etc/shadow மேலெழுதலாம்).
கன்டெய்னருக்கு அல்லது அதிலிருந்து கோப்புகளை நகலெடுக்க நிர்வாகி "docker cp" கட்டளையை இயக்கும் போது மட்டுமே தாக்குதல் நடத்தப்படும். எனவே, தாக்குபவர் இந்தச் செயல்பாட்டைச் செய்ய வேண்டியதன் அவசியத்தையும், நகலெடுக்கும் போது பயன்படுத்தப்படும் பாதையைக் கணிக்கவும் டோக்கர் நிர்வாகியை எப்படியாவது நம்ப வைக்க வேண்டும். மறுபுறம், ஒரு தாக்குதல் நடத்தப்படலாம், எடுத்துக்காட்டாக, கிளவுட் சேவைகள் "டாக்கர் சிபி" கட்டளையைப் பயன்படுத்தி கட்டமைக்கப்பட்ட உள்ளமைவு கோப்புகளை ஒரு கொள்கலனில் நகலெடுப்பதற்கான கருவிகளை வழங்கும் போது.
செயல்பாட்டின் பயன்பாட்டில் உள்ள குறைபாட்டால் சிக்கல் ஏற்படுகிறது , இது கொள்கலனின் இடத்தை கணக்கில் எடுத்துக்கொண்டு, உறவினர் பாதையின் அடிப்படையில் பிரதான கோப்பு முறைமையில் முழுமையான பாதையை கணக்கிடுகிறது. "docker cp" கட்டளையை இயக்கும் போது, ஒரு குறுகிய கால , இதில் பாதை ஏற்கனவே சரிபார்க்கப்பட்டது, ஆனால் செயல்பாடு இன்னும் செய்யப்படவில்லை. ஹோஸ்ட் சிஸ்டத்தின் பிரதான கோப்பு முறைமையின் பின்னணியில் நகலெடுக்கப்படுவதால், ஒரு குறிப்பிட்ட காலத்திற்குள், நீங்கள் இணைப்பை வேறு பாதையுடன் மாற்றலாம் மற்றும் கோப்பு முறைமைக்கு வெளியே உள்ள ஒரு தன்னிச்சையான இடத்திற்கு தரவை நகலெடுக்கத் தொடங்கலாம். கொள்கலன்.
ஒரு பந்தய நிலை ஏற்படுவதற்கான நேர சாளரம் தயாரிக்கப்பட்டதில் மிகவும் குறைவாக இருப்பதால் ஒரு கொள்கலனில் இருந்து நகல் செயல்பாடுகளைச் செய்யும்போது, நகல் செயல்பாட்டில் பயன்படுத்தப்படும் பாதையில் ஒரு குறியீட்டு இணைப்பை சுழற்சி முறையில் மாற்றும்போது 1% க்கும் குறைவான நிகழ்வுகளில் வெற்றிகரமான தாக்குதலை அடைய முடிந்தது (தோராயமாக 10 வினாடிகள் முயற்சிகளுக்குப் பிறகு வெற்றிகரமான தாக்குதல் நடத்தப்பட்டது. "docker cp" கட்டளையுடன் ஒரு சுழற்சியில் கோப்பை தொடர்ந்து நகலெடுக்க).
ஒரு கொள்கலனில் நகல் செயல்பாட்டைச் செய்வதன் மூலம், ஒரு சில மறு செய்கைகளில் ஹோஸ்ட் சிஸ்டத்தில் மீண்டும் மீண்டும் கோப்பு மேலெழுதத் தாக்குதலை நீங்கள் அடையலாம். ஒரு கொள்கலனில் நகலெடுக்கும் போது, "chrootarchive" கருத்து பயன்படுத்தப்படுவதால், தாக்குதலுக்கான சாத்தியக்கூறு உள்ளது, அதன்படி archive.go செயல்முறை காப்பகத்தை கொள்கலன் வேரின் chroot இல் அல்ல, ஆனால் chroot இல் பிரித்தெடுக்கிறது. இலக்குப் பாதையின் மூலக் கோப்பகம், தாக்குபவரால் கட்டுப்படுத்தப்படுகிறது, மேலும் கொள்கலனைச் செயல்படுத்துவதை நிறுத்தாது (குரூட் என்பது இனச்சூழலைப் பயன்படுத்துவதற்கான அடையாளமாகப் பயன்படுத்தப்படுகிறது).
ஆதாரம்: opennet.ru
