Forwarded from Solidot
Docker 漏洞允许攻击者获得主机 root 访问权限
目前所有版本的 Docker 都存在一个漏洞,允许攻击者获得对主机服务器任何路径的读写访问权限。漏洞是一个竞争条件的结果,已经有修复补丁但还没有整合。bug 是软件处理某些符号链接 (symbolic links)的方式导致的。研究员 Aleksa Sarai 发现,在某些情况下,攻击者可在路径解析时间和操作时间之间的短时窗内将自己的符号链接插入到路径中。它是 time of check to time of use (TOCTOU) 的竞争条件问题的一个变种。Media
https://www.solidot.org/story?sid=60807
目前所有版本的 Docker 都存在一个漏洞,允许攻击者获得对主机服务器任何路径的读写访问权限。漏洞是一个竞争条件的结果,已经有修复补丁但还没有整合。bug 是软件处理某些符号链接 (symbolic links)的方式导致的。研究员 Aleksa Sarai 发现,在某些情况下,攻击者可在路径解析时间和操作时间之间的短时窗内将自己的符号链接插入到路径中。它是 time of check to time of use (TOCTOU) 的竞争条件问题的一个变种。Media
https://www.solidot.org/story?sid=60807
Forwarded from Lee Hsien Loong
This media is not supported in your browser
VIEW IN TELEGRAM
PM Lee gave the keynote address at the Shangri-La Dialogue. In this extract, he speaks about the fundamental problem in the US-China relationship, & the consequences of a face-off between both sides.
Forwarded from 万柳防务观察
本刊消息:据传昨天有不明身份人士在课堂上袭击中文系孔庆东教授,被听课学生制服。