Хорошее описание эксплуатации уязвимости ядра в подсистеме
Судя по демо и описанию, атакующий в контейнере с обычного пользователя поднялся до
Ну а все благодаря тому, что по умолчанию можно делать любой системный вызов. Тут либо cами харденим или ждем дефолтного использования
P.S. Сегодня и завтра я на DevOpsConf 2021 с докладом про "SecDevSecOpsSec" - буду рад познакомится и пообщаться со всеми лично
P.S.S. Как говорят создатели
eBPF под номером CVE-2021-31440. Из примечательного тут то, что в качестве демонстрации продемонстрирован container escape в Kubernetes (Ubuntu 20.10, ядро 5.8.0 и mikrok8s 1.20). Судя по демо и описанию, атакующий в контейнере с обычного пользователя поднялся до
root и, используя CAP_SYS_MODULE capability, загружает произвольный модуль ядра вне контейнера. Ну а все благодаря тому, что по умолчанию можно делать любой системный вызов. Тут либо cами харденим или ждем дефолтного использования
seccomp о котором писали раньше. Ну и, конечно, capability нужно тоже резать.P.S. Сегодня и завтра я на DevOpsConf 2021 с докладом про "SecDevSecOpsSec" - буду рад познакомится и пообщаться со всеми лично
AFK!P.S.S. Как говорят создатели
The Pirate Bay: "In Real Life (IRL). We don't like that expression. We say AFK - Away From Keyboard. We think that the internet is for real."