Утро начинается не с кофе (пора уже эту фразу превращать в рубрику)
В рантайме контейнеров runc, который стоит под ногами у Docker, containerd, cri-o, etc. найдена критическая уязвимость, позволяющая злоумышленнику подменять бинарник runc и таким образом получать root-доступ к хост-системе.
CVE-2019-5736
Патч уже выпущен, тестовый эксплойт будет доступен через неделю.
Это хорошее напоминание, почему неплохо гонять контейнеры на read-only ФС и использовать утилиты а-ля gVisor
P.S.: Для тех, кто не очень разбирается, что это за рантаймы контейнеров, но боится спросить; серия статей Ian Lewis, которая прекрасно раскрывает тему.
#containers #docker #security
В рантайме контейнеров runc, который стоит под ногами у Docker, containerd, cri-o, etc. найдена критическая уязвимость, позволяющая злоумышленнику подменять бинарник runc и таким образом получать root-доступ к хост-системе.
CVE-2019-5736
Патч уже выпущен, тестовый эксплойт будет доступен через неделю.
Это хорошее напоминание, почему неплохо гонять контейнеры на read-only ФС и использовать утилиты а-ля gVisor
P.S.: Для тех, кто не очень разбирается, что это за рантаймы контейнеров, но боится спросить; серия статей Ian Lewis, которая прекрасно раскрывает тему.
#containers #docker #security
GitHub
Release 18.06.2-ce · docker/docker-ce
Changelog
For more information on the list of deprecated flags and APIs, have a look at
https://docs.docker.com/engine/deprecated/ where you can find the target removal dates
18.06.2-ce (2019-02-11...
For more information on the list of deprecated flags and APIs, have a look at
https://docs.docker.com/engine/deprecated/ where you can find the target removal dates
18.06.2-ce (2019-02-11...
