Долгосрочная поддержка Debian / Информация о безопасности LTS / 2016 / Информация о безопасности -- DLA-442-1 lxc

Рекомендация Debian по безопасности

DLA-442-1 lxc -- обновление безопасности LTS

Дата сообщения:

29.02.2016

Затронутые пакеты:

lxc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-6441, CVE-2015-1335.

Более подробная информация:

• CVE-2013-6441

  Шаблон сценария lxc-sshd используется для монтирования его в качестве /sbin/init в контейнере, используя монтирования с опцией bind и возможностью перезаписи.

  Данное обновление решает указанную выше проблему, используя монтирование с опцией bind и без возможности записи, что предотвращает любое потенциальное ненамеренное повреждение данных.

• CVE-2015-1335

  При запуске контейнера lxc устанавливает изначальное дерево файловой системы контейнера, выполняя несколько раз монтирование, которое осуществляется в соответсвии с файлом настройки контейнера.

  Владельцем файла настройки контейнера является администратор или пользователь узла, поэтому защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель монтирования находится в контейнере, постольку возможно, что администратор контейнера изменил монтирование с помощью символьных ссылок. Это может позволить обойти настройки контейнера при его запуске (то есть изоляцию контейнера, владельцем которого является суперпользователь, с помощью ограничивающего правила apparmor, путём изменения требуемой записи в /proc/self/attr/current), либо обойти правило apparmor (на основе пути) путём изменения в контейнере, например, /proc на /mnt.

  Данное обновление реализует функцию safe_mount(), которая не позволяет lxc выполнять монтирование в символьные ссылки.