Выход из контейнера в Docker

Обнаружена опасная уязвимость в системе управления контейнерами Docker. Она позволяет злоумышленнику, имеющему доступ к контейнеру, добраться до окружения родительской системы.

Проблема вызвана ошибкой в реализации функции, сопоставляющей относительный путь к файлу в контейнере с абсолютным на родительской системе. В некоторый момент времени валидность пути проверена, но сама операция ещё не выполнена. Это называется состоянием гонки (race conditions) и является типичным сценарием для подобных атак.

Уязвимость проявляется при копировании администратором файлов из внешней системы в контейнер или наоборот. Злоумышленник при этом может переписать произвольную часть файловой системы родительского хоста, так как операция выполняется с правами суперпользователя.

Уязвимости присвоен код CVE-2018-15664. Ей подвержены все версии Docker, и исправление пока не доступно. Предложенное исправление предусматривает приостановку всех операций в контейнере на время копирование файлов в и из родительской системы.


Возврат к списку