forum.opennet.ru - "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению" (25)

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в CRI-O, позволяющая получить root-доступ к хост-окружению"	+/–
Сообщение от opennews (?), 21-Мрт-22, 17:19
В CRI-O, альтернативном runtime для управления изолированными контейнерами, выявлена критическая уязвимость (CVE-2022-0811), позволяющая обойти изоляцию и выполнить свой код на стороне хост-системы. В случае использования CRI-O вместо Docker для организации запуска контейнеров, работающих под управлением платформы Kubernetes, атакующий может получить контроль над любым узлом в кластере Kubernetes. Для проведения атаки достаточно прав для запуска своего контейнера в кластере Kubernetes... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56886
Ответить \| Правка \| Cообщить модератору

Оглавление

изолированные контейнеры опять неизолированные, да что ж такое-то , . (?), 17:19 , 21-Мрт-22, (1) +21

Какая изоляция, такие и контейнеры Протекает изоляция местами , CPU Load (?), 17:23 , 21-Мрт-22, (2) +6

Троянская изоляция , Аноним (19), 21:14 , 21-Мрт-22, (19) +2
Пробивает Киловольт на сантиметр , InuYasha (??), 21:47 , 21-Мрт-22, (20)

А безопасные языки небезопасны Мир несправедлив , Аноним (6), 18:01 , 21-Мрт-22, (6) +2
Добро пожаловать в реальный мир, Нео с - , BorichL (ok), 19:28 , 21-Мрт-22, (15)
Безопастность по игогошному, как то, Аноним (-), 19:52 , 21-Мрт-22, (16)

Не очень понял при чем здесь go os exec конструкцию ls 124 grep sh скормит, MaleDog (?), 20:18 , 21-Мрт-22, (17) +1

Это про низкоуровневые вызовы типа execve Там так не выйдет но это ж игогошки, , Аноним (-), 20:40 , 21-Мрт-22, (18) +1

альтернитивном чему Докер депрекейтнули 2 релиза кубера назад Так что рантаймов, Аноним (5), 17:57 , 21-Мрт-22, (5) –1

Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от , Аноним (6), 18:05 , 21-Мрт-22, (7)

Что значит не хотят Они два года как продались нахрен, новые хозяева уволили , Аноним (9), 18:32 , 21-Мрт-22, (9)

Они продали какую-то часть, которая отвечала за Docker Enterprise Тем более про, Аноним (6), 18:51 , 21-Мрт-22, (10) +1

containerd все же де-факто стандарт, Аноним (8), 18:27 , 21-Мрт-22, (8) +4

Это не на долго , Аноним (6), 18:54 , 21-Мрт-22, (11)

Ага Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут , Аноним (13), 18:57 , 21-Мрт-22, (13) +1

Да ладно containerd остался дефолтом и наследником докера CRI-O - сугубо редхат, Аноним (13), 18:56 , 21-Мрт-22, (12) +2

Это потому все наработки по cri-o пилятся в opensuse , Аноним (14), 19:11 , 21-Мрт-22, (14)

Ой ли , hohax (?), 22:36 , 21-Мрт-22, (22)

Были же какие-то линуксовые нативные hide сишные hide контейнеры, не Или они, InuYasha (??), 21:49 , 21-Мрт-22, (21)

Ты про systemd-nspawn Тоже удивляюсь почему с ним куб не работает , nvidiaamd (?), 00:19 , 22-Мрт-22, (23)

Куб работает со всем, что поддерживает стандарт CRI Люди пользуются только тем, , Аноним (24), 11:14 , 22-Мрт-22, (24)

И какие организации стандартизации подписались за стандарты Номера стандартов, Аноним (-), 15:50 , 22-Мрт-22, (25)

Да ладно, не трожьте болезненный merit bloat , Онаним (?), 10:07 , 23-Мрт-22, (26)
Мы Вы systemd linoops сожрали вместо юникс-системы без патентных проблем Мы ва, rhbm (?), 17:04 , 24-Мрт-22, (27)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +21 +/–

Сообщение от . (?), 21-Мрт-22, 17:19

изолированные контейнеры опять неизолированные, да что ж такое-то...

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +6 +/–

Сообщение от CPU Load (?), 21-Мрт-22, 17:23

Какая изоляция, такие и контейнеры. Протекает изоляция местами ))

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +2 +/–

Сообщение от Аноним (19), 21-Мрт-22, 21:14

Троянская изоляция.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от InuYasha (??), 21-Мрт-22, 21:47

Пробивает. Киловольт на сантиметр )

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +2 +/–

Сообщение от Аноним (6), 21-Мрт-22, 18:01

А безопасные языки небезопасны. Мир несправедлив.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от BorichL (ok), 21-Мрт-22, 19:28

"Добро пожаловать в реальный мир, Нео" (с)   :-)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (-), 21-Мрт-22, 19:52

Безопастность по игогошному, как то
> указав обработчик типа "|/bin/sh -c 'команды'".

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

17. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +1 +/–

Сообщение от MaleDog (?), 21-Мрт-22, 20:18

Не очень понял при чем здесь go. os/exec конструкцию "ls | grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +1 +/–

Сообщение от Аноним (-), 21-Мрт-22, 20:40

Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." –1 +/–

Сообщение от Аноним (5), 21-Мрт-22, 17:57

> альтернативном runtime для управления изолированными контейнерами
альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад.
Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.
Короче, "альтернативным" cri-o неправильно называть.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (6), 21-Мрт-22, 18:05

Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться.  Это всё та же история с системд только про кубер.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (9), 21-Мрт-22, 18:32

Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm.
Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +1 +/–

Сообщение от Аноним (6), 21-Мрт-22, 18:51

Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно.  Вот и имеем nih-синдромы из всех щелей.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +4 +/–

Сообщение от Аноним (8), 21-Мрт-22, 18:27

containerd все же де-факто стандарт

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (6), 21-Мрт-22, 18:54

Это не на долго.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +1 +/–

Сообщение от Аноним (13), 21-Мрт-22, 18:57

Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +2 +/–

Сообщение от Аноним (13), 21-Мрт-22, 18:56

> Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет.
Да ладно! containerd остался дефолтом и наследником докера.
CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

14. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (14), 21-Мрт-22, 19:11

>они даже не парятся о кросс-дистрибутивной поддержке.
Это потому все наработки по cri-o пилятся в opensuse?

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от hohax (?), 21-Мрт-22, 22:36

Ой ли?

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от InuYasha (??), 21-Мрт-22, 21:49

Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от nvidiaamd (?), 22-Мрт-22, 00:19

Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (24), 22-Мрт-22, 11:14

Куб работает со всем, что поддерживает стандарт CRI.
Люди пользуются только тем, что поддерживает стандарт OCI.
containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Аноним (-), 22-Мрт-22, 15:50

И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от Онаним (?), 23-Мрт-22, 10:07

Да ладно, не трожьте болезненный merit bloat.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..." +/–

Сообщение от rhbm (?), 24-Мрт-22, 17:04

> И какие организации стандартизации подписались за "стандарты"?
Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт!
И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше.
А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+21 +/–
Сообщение от . (?), 21-Мрт-22, 17:19
изолированные контейнеры опять неизолированные, да что ж такое-то...
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+6 +/–
	Сообщение от CPU Load (?), 21-Мрт-22, 17:23
	Какая изоляция, такие и контейнеры. Протекает изоляция местами ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+2 +/–
	Сообщение от Аноним (19), 21-Мрт-22, 21:14
	Троянская изоляция.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от InuYasha (??), 21-Мрт-22, 21:47
	Пробивает. Киловольт на сантиметр )
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+2 +/–
	Сообщение от Аноним (6), 21-Мрт-22, 18:01
	А безопасные языки небезопасны. Мир несправедлив.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	15. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от BorichL (ok), 21-Мрт-22, 19:28
	"Добро пожаловать в реальный мир, Нео" (с) :-)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	16. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (-), 21-Мрт-22, 19:52
	Безопастность по игогошному, как то > указав обработчик типа "\|/bin/sh -c 'команды'".
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	17. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+1 +/–
	Сообщение от MaleDog (?), 21-Мрт-22, 20:18
	Не очень понял при чем здесь go. os/exec конструкцию "ls \| grep sh" скормить нельзя. Pipe там иным образом организовывается. Так же как нельзя по умолчанию манипулировать параметрами передаваемыми внешней команде.Все они передаются массивом строк и дописать один из них не получится. То что некоторые программисты идут на сознательное нарушение всех принципов безопасности, даже при создании безопасного приложения, не проблема языка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+1 +/–
	Сообщение от Аноним (-), 21-Мрт-22, 20:40
	Это про низкоуровневые вызовы типа execve? Там так не выйдет но это ж игогошки, у них так не игого, им бы что-то типа system()
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	–1 +/–
Сообщение от Аноним (5), 21-Мрт-22, 17:57
> альтернативном runtime для управления изолированными контейнерами альтернитивном чему? Докер депрекейтнули 2 релиза кубера назад. Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет. Короче, "альтернативным" cri-o неправильно называть.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (6), 21-Мрт-22, 18:05
	Да это всем было очевидно что гугл подомнет все под себя и не будет зависеть от какого-то там стартапа под названием докер, тем более докер не хотят продаваться. Это всё та же история с системд только про кубер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (9), 21-Мрт-22, 18:32
	Что значит "не хотят"? Они два года как продались нахрен, новые хозяева уволили всех разработчиков (кому эти макаки игогошники нужны были) и оставили себе сладкое - репо с образами. А код писать - вон, гугль что-ли, пусть займется...или там rhbm. Ой, а у тех опять г-но получилось. Место чтоль, правда, проклятое?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+1 +/–
	Сообщение от Аноним (6), 21-Мрт-22, 18:51
	Они продали какую-то часть, которая отвечала за Docker Enterprise. Тем более продали не Гуглу что некошерно. Вот и имеем nih-синдромы из всех щелей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+4 +/–
	Сообщение от Аноним (8), 21-Мрт-22, 18:27
	containerd все же де-факто стандарт
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	11. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (6), 21-Мрт-22, 18:54
	Это не на долго.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+1 +/–
	Сообщение от Аноним (13), 21-Мрт-22, 18:57
	Ага. Вот увидят люди, как радхат умеет дырки делать, сразу на CRI-O побегут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+2 +/–
	Сообщение от Аноним (13), 21-Мрт-22, 18:56
	> Так что рантаймов по сути осталось всего 2 - containerd и cri-o, выбирай какой хочешь, они равноправны, рекомендаций нет. Да ладно! containerd остался дефолтом и наследником докера. CRI-O - сугубо редхатовское местечковое решение, они даже не парятся о кросс-дистрибутивной поддержке. А с бесплатной версией RH для серверов сейчас некоторые проблемы из-за обострения жадности у редхатовских манагеров.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	14. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (14), 21-Мрт-22, 19:11
	>они даже не парятся о кросс-дистрибутивной поддержке. Это потому все наработки по cri-o пилятся в opensuse?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от hohax (?), 21-Мрт-22, 22:36
	Ой ли?
	Ответить \| Правка \| Наверх \| Cообщить модератору

21. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
Сообщение от InuYasha (??), 21-Мрт-22, 21:49
Были же какие-то линуксовые нативные [hide]сишные[/hide] контейнеры, не? Или они недостаточно оправдывают необходимость закупок нового железа?
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от nvidiaamd (?), 22-Мрт-22, 00:19
	Ты про systemd-nspawn? Тоже удивляюсь почему с ним куб не работает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (24), 22-Мрт-22, 11:14
	Куб работает со всем, что поддерживает стандарт CRI. Люди пользуются только тем, что поддерживает стандарт OCI. containerd и cri-o поддерживают и то, и другое, systemd-nspawn - ничего из перечисленного.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Аноним (-), 22-Мрт-22, 15:50
	И какие организации стандартизации подписались за "стандарты"? Номера стандартов? Или типа если сколотил фаундейшн и вывалил пасквиль то все, стандарт?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от Онаним (?), 23-Мрт-22, 10:07
	Да ладно, не трожьте болезненный merit bloat.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимость в CRI-O, позволяющая получить root-доступ к хост-..."	+/–
	Сообщение от rhbm (?), 24-Мрт-22, 17:04
	> И какие организации стандартизации подписались за "стандарты"? Мы. Вы systemd/linoops сожрали вместо юникс-системы без патентных проблем? Мы ваш новый стандарт! И это сожрете. И еще добавки попросите. Вам же лишь бы шва...бесплатно, нахалявку и побольше. А мы потом вам сделаем опа, и ваше 6ешплатно будет работать примерно как OKD - "скачайте воооонизтогоместа внутри rhn бинарник для бутстрапа - мы работаем над этим [хахаха, нет] но пока вот такой вам впопенсорсе". А когда оно вас таки подзатрахает - приходите в кассу и несите дань за тридцать лет и три года.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору