В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера

13.01.2017 10:03

В выпуске cистемы управления контейнерной виртуализацией Docker 1.12.6 устранена опасная уязвимость (CVE-2016-9962), позволяющая получить доступ к хост-системе из изолированного контейнера. Уязвимость вызвана недоработкой в runtime runC, который используется по умолчанию начиная с ветки Docker 1.11, и также проявляется в других системах на базе runC.

RunC позволяет выполнить основным процессом (pid 1) в контейнере ptrace-трассировку дополнительных процессов, запущенных через команду "runc exec". Если основной процесс (pid 1) в контейнере запущен с правами root, подобная возможность позволяет во время инициализации получить доступ к файловым дескрипторам от хост-системы, что может быть использовано для выхода из контейнера или изменения состояния runC на стадии до того, как процесс будет полностью изолирован в контейнере. Похожая уязвимость была устранена в ноябре в инструментарии LXC.