ఐసోలేటెడ్ Linux డాకర్ కంటైనర్లను నిర్వహించడం కోసం టూల్కిట్లో దుర్బలత్వం (), ఇది, నిర్దిష్ట పరిస్థితులలో, మీరు సిస్టమ్లో మీ చిత్రాలను ప్రారంభించగల సామర్థ్యాన్ని కలిగి ఉన్నట్లయితే లేదా నడుస్తున్న కంటైనర్కు ప్రాప్యతను కలిగి ఉన్నట్లయితే, మీరు కంటైనర్ నుండి హోస్ట్ వాతావరణాన్ని యాక్సెస్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. సమస్య డాకర్ యొక్క అన్ని వెర్షన్లలో కనిపిస్తుంది మరియు పరిష్కరించబడలేదు (ప్రతిపాదించబడింది, కానీ ఇంకా ఆమోదించబడలేదు, , ఇది FSతో కార్యకలాపాలను నిర్వహిస్తున్నప్పుడు కంటైనర్ యొక్క సస్పెన్షన్ను అమలు చేస్తుంది).
“డాకర్ cp” కమాండ్ని అమలు చేస్తున్నప్పుడు ఫైల్లను కంటైనర్ నుండి హోస్ట్ సిస్టమ్ ఫైల్ సిస్టమ్లోని ఏకపక్ష భాగానికి సంగ్రహించడానికి దుర్బలత్వం అనుమతిస్తుంది. ఫైల్ వెలికితీత రూట్ హక్కులతో నిర్వహించబడుతుంది, ఇది హోస్ట్ వాతావరణంలో ఏదైనా ఫైల్లను చదవడం లేదా వ్రాయడం సాధ్యం చేస్తుంది, ఇది హోస్ట్ సిస్టమ్పై నియంత్రణను పొందేందుకు సరిపోతుంది (ఉదాహరణకు, మీరు /etc/shadowని ఓవర్రైట్ చేయవచ్చు).
అడ్మినిస్ట్రేటర్ ఫైల్లను కంటైనర్కు లేదా దాని నుండి కాపీ చేయడానికి “డాకర్ cp” ఆదేశాన్ని అమలు చేసినప్పుడు మాత్రమే దాడి జరుగుతుంది. అందువల్ల, దాడి చేసే వ్యక్తి ఈ ఆపరేషన్ను నిర్వహించాల్సిన అవసరం గురించి డాకర్ నిర్వాహకుడిని ఎలాగైనా ఒప్పించాలి మరియు కాపీ చేసేటప్పుడు ఉపయోగించే మార్గాన్ని అంచనా వేయాలి. మరోవైపు, దాడిని నిర్వహించవచ్చు, ఉదాహరణకు, క్లౌడ్ సేవలు “డాకర్ cp” ఆదేశాన్ని ఉపయోగించి నిర్మించబడిన కంటైనర్లోకి కాన్ఫిగరేషన్ ఫైల్లను కాపీ చేయడానికి సాధనాలను అందించినప్పుడు.
ఫంక్షన్ యొక్క అనువర్తనంలో లోపం కారణంగా సమస్య ఏర్పడుతుంది , ఇది కంటైనర్ యొక్క ప్లేస్మెంట్ను పరిగణనలోకి తీసుకొని సాపేక్ష మార్గం ఆధారంగా ప్రధాన ఫైల్ సిస్టమ్లోని సంపూర్ణ మార్గాన్ని గణిస్తుంది. "డాకర్ cp" ఆదేశాన్ని అమలు చేస్తున్నప్పుడు, స్వల్పకాలిక , దీనిలో మార్గం ఇప్పటికే ధృవీకరించబడింది, కానీ ఆపరేషన్ ఇంకా నిర్వహించబడలేదు. కాపీ చేయడం హోస్ట్ సిస్టమ్ యొక్క ప్రధాన ఫైల్ సిస్టమ్ సందర్భంలో జరుగుతుంది కాబట్టి, నిర్దిష్ట వ్యవధిలో, మీరు లింక్ను మరొక మార్గంతో భర్తీ చేయవచ్చు మరియు ఫైల్ సిస్టమ్ వెలుపల ఉన్న ఫైల్ సిస్టమ్లోని ఏకపక్ష స్థానానికి డేటాను కాపీ చేయడం ప్రారంభించవచ్చు. కంటైనర్.
ఒక రేసు పరిస్థితి సంభవించే సమయ విండో సిద్ధం చేయబడిన వాటిలో చాలా పరిమితంగా ఉంటుంది కంటైనర్ నుండి కాపీ ఆపరేషన్లు చేస్తున్నప్పుడు, కాపీ ఆపరేషన్లో ఉపయోగించిన మార్గంలో సింబాలిక్ లింక్ను చక్రీయంగా భర్తీ చేసినప్పుడు 1% కంటే తక్కువ కేసులలో విజయవంతమైన దాడిని సాధించడం సాధ్యమైంది (సుమారు 10 సెకన్ల ప్రయత్నాల తర్వాత విజయవంతమైన దాడి జరిగింది. “డాకర్ cp” కమాండ్తో ఫైల్ను లూప్లో నిరంతరం కాపీ చేయడానికి).
కంటైనర్లో కాపీ ఆపరేషన్ చేయడం ద్వారా, మీరు హోస్ట్ సిస్టమ్పై పునరావృతమయ్యే ఫైల్ ఓవర్రైట్ దాడిని కొన్ని పునరావృతాలలో సాధించవచ్చు. కంటైనర్లోకి కాపీ చేసేటప్పుడు, “chrootarchive” కాన్సెప్ట్ని ఉపయోగించడం వల్ల దాడి జరిగే అవకాశం ఉంది, దీని ప్రకారం archive.go ప్రక్రియ ఆర్కైవ్ను కంటైనర్ రూట్ యొక్క chroot లోకి కాకుండా ఆర్కైవ్ను సంగ్రహిస్తుంది, కానీ chroot లక్ష్య మార్గం యొక్క పేరెంట్ డైరెక్టరీ, దాడి చేసేవారిచే నియంత్రించబడుతుంది మరియు కంటైనర్ యొక్క అమలును ఆపదు (జాతి పరిస్థితులను ఉపయోగించుకోవడానికి chroot ఒక సంకేతంగా ఉపయోగించబడుతుంది).
మూలం: opennet.ru
