[Перевод] Уязвимость runC, затрагивающая Kubernetes, Docker и containerd

[Перевод] Уязвимость runC, затрагивающая Kubernetes, Docker и containerd

Сообщество Linux занято сейчас устранением недавно обнаруженной уязвимости, которая касается средства для запуска контейнеров runC, используемого Docker, CRI-O, containerd и Kubernetes. Уязвимость, получившая идентификационный номер CVE-2019-5736, даёт заражённому контейнеру возможность перезаписать исполняемый файл runC на хосте и получить к нему root-доступ. Это позволяет такому контейнеру получить контроль над хостом и даёт атакующему возможность выполнять любые команды. Читать дальше →

13 февраля 2019, среда 12:01 Оставить комментарий Источник

Похожие материалы

Кластер kubernetes HA с containerd. Или есть ли жизнь без docker?

Развертываение kubernetes HA с containerd Добрый день уважаемые читатели Хабра! 24.05.2018 г. в официальном блоге Kubernetes была опубликована статья под названием Kubernetes Containerd Integration Goes GA, в которой говорится, что интеграция containerd с Kubernetes готова к production. Также ребята из компании Флант в своем блоге…

2 июля 2018, понедельник 10:36 Источник
CVE-2022-31030

containerd is an open source container runtime. A bug was found in the containerd's CRI implementation where programs inside a container can cause the containerd daemon to consume memory without bound during invocation of the `ExecSync` API. This can cause containerd to consume all available memory on the computer, denying service to other legitimate workloads. Kubernetes and crictl can both be configured to use containerd's CRI implementation; `ExecSync` may be used when running probes or when executing…

9 июня 2022, четверг 22:01 Источник
CVE-2023-25809

runc is a CLI tool for spawning and running containers according to the OCI specification. In affected versions it was found that rootless runc makes `/sys/fs/cgroup` writable in following conditons: 1. when runc is executed inside the user namespace, and the `config.json` does not specify the cgroup namespace to be unshared (e.g.., `(docker|podman|nerdctl) run --cgroupns=host`, with Rootless Docker/Podman/nerdctl) or 2. when runc is executed outside the user namespace, and `/sys` is mounted with `rbind,…

30 марта 2023, четверг 2:00 Источник

[Перевод] Уязвимость runC, затрагивающая Kubernetes, Docker и containerd

Комментарии

Похожие материалы

Кластер kubernetes HA с containerd. Или есть ли жизнь без docker?

CVE-2022-31030

CVE-2023-25809