ఐసోలేటెడ్ Linux డాకర్ కంటైనర్లను నిర్వహించడం కోసం టూల్కిట్లో
“డాకర్ cp” కమాండ్ని అమలు చేస్తున్నప్పుడు ఫైల్లను కంటైనర్ నుండి హోస్ట్ సిస్టమ్ ఫైల్ సిస్టమ్లోని ఏకపక్ష భాగానికి సంగ్రహించడానికి దుర్బలత్వం అనుమతిస్తుంది. ఫైల్ వెలికితీత రూట్ హక్కులతో నిర్వహించబడుతుంది, ఇది హోస్ట్ వాతావరణంలో ఏదైనా ఫైల్లను చదవడం లేదా వ్రాయడం సాధ్యం చేస్తుంది, ఇది హోస్ట్ సిస్టమ్పై నియంత్రణను పొందేందుకు సరిపోతుంది (ఉదాహరణకు, మీరు /etc/shadowని ఓవర్రైట్ చేయవచ్చు).
అడ్మినిస్ట్రేటర్ ఫైల్లను కంటైనర్కు లేదా దాని నుండి కాపీ చేయడానికి “డాకర్ cp” ఆదేశాన్ని అమలు చేసినప్పుడు మాత్రమే దాడి జరుగుతుంది. అందువల్ల, దాడి చేసే వ్యక్తి ఈ ఆపరేషన్ను నిర్వహించాల్సిన అవసరం గురించి డాకర్ నిర్వాహకుడిని ఎలాగైనా ఒప్పించాలి మరియు కాపీ చేసేటప్పుడు ఉపయోగించే మార్గాన్ని అంచనా వేయాలి. మరోవైపు, దాడిని నిర్వహించవచ్చు, ఉదాహరణకు, క్లౌడ్ సేవలు “డాకర్ cp” ఆదేశాన్ని ఉపయోగించి నిర్మించబడిన కంటైనర్లోకి కాన్ఫిగరేషన్ ఫైల్లను కాపీ చేయడానికి సాధనాలను అందించినప్పుడు.
ఫంక్షన్ యొక్క అనువర్తనంలో లోపం కారణంగా సమస్య ఏర్పడుతుంది
ఒక రేసు పరిస్థితి సంభవించే సమయ విండో సిద్ధం చేయబడిన వాటిలో చాలా పరిమితంగా ఉంటుంది
కంటైనర్లో కాపీ ఆపరేషన్ చేయడం ద్వారా, మీరు హోస్ట్ సిస్టమ్పై పునరావృతమయ్యే ఫైల్ ఓవర్రైట్ దాడిని కొన్ని పునరావృతాలలో సాధించవచ్చు. కంటైనర్లోకి కాపీ చేసేటప్పుడు, “chrootarchive” కాన్సెప్ట్ని ఉపయోగించడం వల్ల దాడి జరిగే అవకాశం ఉంది, దీని ప్రకారం archive.go ప్రక్రియ ఆర్కైవ్ను కంటైనర్ రూట్ యొక్క chroot లోకి కాకుండా ఆర్కైవ్ను సంగ్రహిస్తుంది, కానీ chroot లక్ష్య మార్గం యొక్క పేరెంట్ డైరెక్టరీ, దాడి చేసేవారిచే నియంత్రించబడుతుంది మరియు కంటైనర్ యొక్క అమలును ఆపదు (జాతి పరిస్థితులను ఉపయోగించుకోవడానికి chroot ఒక సంకేతంగా ఉపయోగించబడుతుంది).
మూలం: opennet.ru