|
С все по-голямото разпространение на ползването на Docker контейнеризацията, вниманието към сигурността на технологията логично се покачва.Още през юни се появи и новината за откриването на първата голяма дупка в контейнерите, която позволяваше на зловредни програми да пробиват защитата им и да получават достъп до файловете на хостващата ги физическа система. Уязвимостта бе бързо оправена, за да дойде ноември, когато се появи съобщение за откриването на втори подобен проблем, който е даже по-сериозен от първия. Той може да позволи на атакуващата страна да вземе завишени привилегии и да изпълни случаен код по отдалечен път.Хората от Docker Inc. отново бяха бързи в реакцията си, излизайки с нова версия на виртуализиращата платформа, като Docker 1.3.2 е защитен от експлоатиране на проблема. Всички предишни версии обаче, съобщават от компанията, са уязвими, така че потребителите на Docker ще е добре да направят пълен ъпгрейд към новата версия.Известна като CVE-2014-6407, уязвимостта е била открита и докладвана от Флориан Ваймер от Red Hat и разработчикът по информационна защита Тьонис Тигли. Уязвимостта се възползва от слабост в начина на обработката на имидж файловете от Docker. Във версиите преди 1.3.2 Docker обработва "вградените" и символните връзки към имидж архивите без да се интересува от съдържанието им, което й ги прави уязвими към зловредни образи, които получават право да записват произволни файлове на диска. С новата версия, софтуера вече сканира образите преди да ги извлече, като в 1.3.2 този процес по извличане протича във виртуализираната среда на "пясъчна кутия", така че въпросните образи получават силно ограничени права по отношение на привилегиите им на реалната система. Бюлетинът по сигурността, който излезе в началото на седмицата описва също така и втора уязвимост в платформата: CVE-2014-6408. Тя засяга единствено версии 1.3.0 и 1.3.1. Въпросната уязвимост засяга отново възможността на зловредна програма да преодолее защитата на контейнера и да нанесе вреди на реалната система. Новата версия на Docker е вече налична на сайта на платформата и може да бъде свалена оттук. |
|
