Рекомендация Debian по безопасности

DLA-442-1 lxc -- обновление безопасности LTS

Дата сообщения:
29.02.2016
Затронутые пакеты:
lxc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-6441, CVE-2015-1335.
Более подробная информация:
  • CVE-2013-6441

    Шаблон сценария lxc-sshd используется для монтирования его в качестве /sbin/init в контейнере, используя монтирования с опцией bind и возможностью перезаписи.

    Данное обновление решает указанную выше проблему, используя монтирование с опцией bind и без возможности записи, что предотвращает любое потенциальное ненамеренное повреждение данных.

  • CVE-2015-1335

    При запуске контейнера lxc устанавливает изначальное дерево файловой системы контейнера, выполняя несколько раз монтирование, которое осуществляется в соответсвии с файлом настройки контейнера.

    Владельцем файла настройки контейнера является администратор или пользователь узла, поэтому защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель монтирования находится в контейнере, постольку возможно, что администратор контейнера изменил монтирование с помощью символьных ссылок. Это может позволить обойти настройки контейнера при его запуске (то есть изоляцию контейнера, владельцем которого является суперпользователь, с помощью ограничивающего правила apparmor, путём изменения требуемой записи в /proc/self/attr/current), либо обойти правило apparmor (на основе пути) путём изменения в контейнере, например, /proc на /mnt.

    Данное обновление реализует функцию safe_mount(), которая не позволяет lxc выполнять монтирование в символьные ссылки.