Słowo kontener w IT jednoznacznie kojarzy się z dockerem chociaż nie jest to jedyna technologia pozwalająca na opakowanie oprogramowania w paczkę, która zawiera niezbędne do uruchomienia środowisko (czyli zależności, biblioteki). Kontenery mogą korzystać np. z namespaces i cgroups, aby odizolować uruchamiane programy od siebie nawzajem. Współdzielenie kernela systemu bazowego powoduje,…
Czytaj dalej »
Zapraszamy Was na pierwszy odcinek MSHP Express. Spodziewajcie się nowych treści w każdą środę 😊 W formie krótkich materiałów video będziemy prezentować naszych prelegentów oraz opowiadać o tym czego możecie się spodziewać na październikowym (19.10.2023) Mega Sekurak Hacking Party! Na pierwszy ogień idzie znany i lubiany Tomek Turba, który opowie…
Czytaj dalej »
W tym krótkim newsie omówimy jeden przypadek ataku z wykorzystaniem obrazów Dockera. Dla czytelników mniej zaznajomionych z tą technologią: est to popularne ostatnimi czasy rozwiązanie, które pozwala uruchamiać aplikacje w skonteneryzowanym środowisku (czyli takim, które nie powinno mieć dostępu do „zwykłych” zasobów systemu operacyjnego, tylko w jakiś sposób sandboksowanych). Przykładowo…
Czytaj dalej »
Strategia: „niech w kontenerze dzieje się co chce – i tak nam nic nie zrobią, bo mamy kontener” nie jest zbyt rozsądna. Otóż jeśli ktoś uzyska możliwość wykonywania kodu w OS w środku kontenera oraz ma lub wyeskaluje uprawnienia do roota, korzystając z tej luki może wyskoczyć z kontenera. CVE-2019-14271…
Czytaj dalej »
Podatność CVE-2018-15664 została upubliczniona przez jednego z inżynierów SUSE Linux. W pewnym uproszczeniu chodzi o podatność klasy race condition z użyciem linków symbolicznych. Z drugiej strony to podatność klasy TOCTOU. Np. jakaś operacja tworzy link symboliczny, jest on rozwiązywany na odpowiednią ścieżkę w kontenerze, w tym momencie go szybko podmieniamy na…
Czytaj dalej »
Szczegóły tutaj, załatana wersja Dockera tutaj (18.09.2) The vulnerability allows a malicious container to (with minimal user interaction) overwrite the host runc binary and thus gain root-level code execution on the host. Prawdopodobnie muszą być spełnione dwie rzeczy: atakujący może startować kontenery (docker run) ze swoim obrazem kontener jest uruchamiany jako root…
Czytaj dalej »
W ostatnim czasie dużą popularność zdobył Docker: Docker containers wrap up a piece of software in a complete filesystem that contains everything it needs to run: code, runtime, system tools, system libraries – anything you can install on a server. This guarantees that it will always run the same, regardless…
Czytaj dalej »