Maximizando sua infra-estrutura através da virtualização
A exploração de segurança veio à tona que pode permitir que programas maliciosos para sair de contêineres Docker e acessar o seu sistema operacional hospedeiro, mas a falha foi selado na última versão da tecnologia.
Ao contrário de virtualização, que inicia uma instância de sistema operacional separado para cada máquina virtual, conteinerização Linux varas vários aplicativos, isolaram-off na mesma instância do sistema operacional hospedeiro.
Embora tenha muitas vantagens de desempenho sobre a virtualização, a segurança desta abordagem tem sido uma preocupação e essa falha não ajuda em nada. (Por esta razão, a maioria dos provedores de nuvem como Amazon e Google limite Docker instala em sua nuvem para um recipiente Docker por VM).
A falha "Demonstra que qualquer Docker imagem alguém está lhe pedindo para ser executado em sua configuração Docker pode acessar qualquer arquivo no seu hospedeiro, por exemplo despejo hosts / etc / shadow ou outras informações confidenciais, comprometer a segurança do host e qualquer outro estivador VM em la ", de acordo com um comentário publicado juntamente com o exploit.
A exploração versão afetada 0,11 da fundamental Docker runtime Motor e embalagem tecnologia, mas não representam uma ameaça para a versão 0.12, que saiu na versão 1.0 do Docker semana passada .
"A prova de conceito baseia-se em explorar a capacidade do kernel que permite que um processo para abrir qualquer arquivo no hospedeiro com base em seu inode. Na maioria dos sistemas, o inode do / (raiz) do sistema de arquivos é 2. Com essa informação ea capacidade do kernel é possível caminhar árvore de arquivos do host até encontrar o objeto que você deseja abrir e, em seguida, extrair informações sensíveis, como senhas ", Docker explicou em um post de blog publicado após a falha saiu.
"Em versões anteriores do motor Docker (pré-Docker Motor 0,12), caiu uma lista específica de recursos do kernel, (uma lista que não inclui esta capacidade), e todas as outras capacidades do kernel estavam disponíveis para recipientes Docker. In Docker Motor 0,12 (e continuando em Docker Engine 1.0) que solte todas as capacidades do kernel por padrão. Essencialmente, isso muda o nosso uso das capacidades do kernel a partir de uma lista negra de uma lista branca ".
A empresa recomenda que os usuários executar Docker juntamente com AppArmor ou SE Linux para fornecer mais de contenção, e para mapear grupos de recipientes mutuamente confiáveis para máquinas separadas.
"Por favor, lembre-se, no entanto, que neste momento nós não reivindicamos que Docker motor out-of-the-box é adequado para conter os programas não confiáveis com privilégios de root", escreveu a empresa - um pouco incrivelmente sensível do conselho. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário