VG
а вот и не все
Vulnerability Details : CVE-2021-21285
In Docker before versions 9.03.15, 20.10.3 there is a vulnerability in which pulling an intentionally malformed Docker image manifest crashes the dockerd daemon
Size: a a a
2021 July 20
VG
РЕШЕТО
AB
In FreeBSD 13.0-STABLE before n245118, 12.2-STABLE before r369552, 11.4-STABLE before r369560, 13.0-RC5 before p1, 12.2-RELEASE before p6, and 11.4-RELEASE before p9, a superuser inside a FreeBSD jail configured with the non-default allow.mount permission could cause a race condition between the lookup of ".." and remounting a filesystem, allowing access to filesystem hierarchy outside of the jail.
AB
ШЕРЕТО
VG
так вон в докере даже в контейнер заходить не надо
AB
а jail выходит и jail вовсе, и чо
VG
контекст ты конечно читать не умеешь
VG
админ у тебя просто пуллит специальный образ и всё
AB
а я и не читал, мимо крокодил и на РЕШЕТО тригернулся
DF
Ага, только этот образ сначала запушить надо. А там CI, код ревью и прочие мониторинги действий
VG
ага, на системах, которые проходили еще меньше аудита, раз уж докер в прод пролез
VG
и потом, кто сказал, что админ не сможет пуллить из другого места
AB
А что за контекст? Кто-то админу не доверяет?
DF
Какая разница сколько они аудита проходили? Чтобы запушить такой образ в регистри надо пройти CI и кодревью где это должно всплыть.
DF
Может конечно, только для этого ему надо машине доступ в интернет открыть, что само по себе палево
AK
кодревью образов для лохера?
VG
нажимаешь в телеге лупу и набираешь PCI DSS
DF
Вадим говорит что докер не безопасен и PCI DSS не пройдет
AB
а не, сложно, пойду дальше