Izolyatsiya qilingan Linux Docker konteynerlarini boshqarish uchun asboblar to'plamida zaiflik (), ma'lum bir sharoitda, agar siz tizimda tasvirlaringizni ishga tushirish imkoniga ega bo'lsangiz yoki ishlaydigan konteynerga kirish imkoniga ega bo'lsangiz, konteynerdan xost muhitiga kirish imkonini beradi. Muammo Docker-ning barcha versiyalarida paydo bo'ladi va hal qilinmagan (taklif qilingan, ammo hali qabul qilinmagan, , FS bilan operatsiyalarni bajarishda konteynerning to'xtatilishini amalga oshiradi).
Zaiflik "docker cp" buyrug'ini bajarishda fayllarni konteynerdan xost tizimining fayl tizimining ixtiyoriy qismiga chiqarish imkonini beradi. Fayllarni ajratib olish ildiz huquqlari bilan amalga oshiriladi, bu xost muhitida istalgan faylni o'qish yoki yozish imkonini beradi, bu xost tizimini boshqarish uchun etarli (masalan, siz /etc/shadow ustiga yozishingiz mumkin).
Hujum faqat administrator fayllarni konteynerga yoki konteynerdan nusxalash uchun "docker cp" buyrug'ini bajarganda amalga oshirilishi mumkin. Shunday qilib, tajovuzkor qandaydir tarzda Docker ma'murini ushbu operatsiyani bajarish zarurligiga ishontirishi va nusxa ko'chirishda ishlatiladigan yo'lni bashorat qilishi kerak. Boshqa tomondan, hujum, masalan, bulutli xizmatlar konfiguratsiya fayllarini "docker cp" buyrug'i yordamida qurilgan konteynerga nusxalash uchun vositalarni taqdim etganda amalga oshirilishi mumkin.
Muammo funktsiyani qo'llashdagi nuqson tufayli yuzaga keladi , bu konteynerni joylashtirishni hisobga olgan holda, nisbiy yo'lga asoslangan asosiy fayl tizimidagi mutlaq yo'lni hisoblaydi. "Docker cp" buyrug'ini bajarayotganda, qisqa muddatli , unda yo'l allaqachon tekshirilgan, ammo operatsiya hali bajarilmagan. Nusxalash xost tizimining asosiy fayl tizimi kontekstida amalga oshirilganligi sababli, ma'lum bir vaqt oralig'ida siz havolani boshqa yo'l bilan almashtirishingiz va ma'lumotlarni fayl tizimidan tashqaridagi ixtiyoriy joyga nusxalashni boshlashingiz mumkin. idish.
Poyga holatining yuzaga kelishi uchun vaqt oynasi tayyorlanganda juda cheklanganligi sababli Konteynerdan nusxa ko'chirish operatsiyalarini bajarayotganda, nusxa ko'chirishda ishlatiladigan yo'lda ramziy havolani davriy ravishda almashtirishda 1% dan kam hollarda muvaffaqiyatli hujumga erishish mumkin edi (muvaffaqiyatli hujum taxminan 10 soniya urinishlardan keyin amalga oshirildi). faylni doimiy ravishda "docker cp" buyrug'i bilan tsiklda nusxalash uchun).
Konteynerga nusxa ko'chirish operatsiyasini bajarish orqali siz bir necha iteratsiyada xost tizimiga takrorlanadigan faylni qayta yozish hujumiga erishishingiz mumkin. Hujum ehtimoli konteynerga nusxa ko'chirishda "chrootarchive" kontseptsiyasidan foydalanilganligi bilan bog'liq, unga ko'ra archive.go jarayoni arxivni konteyner ildizining chrootiga emas, balki arxivning chrootiga chiqaradi. tajovuzkor tomonidan boshqariladigan maqsadli yo'lning ota-katalogi va konteynerning bajarilishini to'xtatmaydi (chroot poyga shartlaridan foydalanish uchun belgi sifatida ishlatiladi).
Manba: opennet.ru
