Уязвимость Docker Escape: побег из контейнера всё ещё возможен

[vesper-bot]

По такому синопсису это уже не баг, а фича получается.

[mayorovp]

Баг это, баг. Логично было бы release_agent запускать не в корневой группе, а в родительской. Или в той группе, процесс которой этот самый release_agent прописал.

[amarao]

--cap-add=SYS_ADMIN --security-opt apparmor=unconfined

Чудо, а не багрепорт. Попросил права сисадмина, отключил apparmor, и после этого показываем, что права сисадмина позволяют сисадминить.

Я вот обнаружил, что sudo rm -r /etc /usr /bin ломает почти любой сервер. Это явно уязвимость линукса!

[Anrikigai]

Ну если бы это дополнить средствами защиты (типа вот при конфигурировании кучу ошибок совершили, но благодаря XXX враг все равно не пройдет) - получилось бы очень даже интересно.

[sevikkk]

А если сделать docker run --privileged -v /:/host то можно вообще столько всего наворотить...

И главное что это было ВСЕГДА и это ВООБЩЕ не собираются чинить...