Уязвимость в Docker, связанная с предоставлением доступа к /proc/acpi

Раскрыты сведения об уязвимости (CVE-2018-10892) в инструментарии управления контейнерами Docker. Проблема вызвана тем, что Docker не фильтрует из отображаемого внутри контейнеров пространства /proc подкаталог /proc/acpi, что позволяет из контейнера изменять режимы работы оборудования, например, включать и выключать Bluetooth (echo «enable» /proc/acpi/ibm/bluetooth), активировать подсветку клавиатуры (echo 2 /proc/acpi/ibm/kbdlight) и т.п. Дистрибутивы с appArmor и SELinux, включенном в режиме «enforcing», эффективно блокируют данную проблему.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.