Уязвимость в Buildah и Podman, позволяющая обойти изоляцию контейнера
В пакетах Buildah и Podman выявлена уязвимость (CVE-2024-1753), позволяющая получить полный доступ к файловой системе хост-окружения на стадии сборки контейнера, запускаемого с правами root. На системах с включённым SELinux доступ к хостовой ФС ограничивается режимом только чтения. Исправление пока доступно в виде патча, который несколько минут назад принят в кодовую базу Buildah. Уязвимость вызвана тем, что при выполнении монтирования частей ФС через команду «mount —bind» во время сборки на стадии RUN, аргумент с исходным каталогом (параметр «source=») не проверяется на предмет существования в корневой ФС. Оформленный злоумышленником файл конфигурации Containerfile может использовать образ контейнера, в котором исходный каталог для монтирования … Читать далее Уязвимость в Buildah и Podman, позволяющая обойти изоляцию контейнера