Allvarlig sårbarhet i Docker för Windows

idag 10:00

Permalänk

Nyhet

Melding Plague

Registrerad: Dec 1999

●

Allvarlig sårbarhet i Docker för Windows

Lömsk container kan ta kontroll över värddatorn.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Rapportera Redigera

Citera flera Citera (9)

idag 10:59

Permalänk

xfade

Medlem ★

Registrerad: Jul 2002

●

Var det inte därför man skulle använda dockers??

(( Tur jag kör ESXI.. ))

Visa signatur

Rapportera Redigera

Citera flera Citera (4)

idag 11:05

Permalänk

pt96hni

Medlem ★

Registrerad: Jul 2002

●

Skrivet av xfade:

Var det inte därför man skulle använda dockers??

(( Tur jag kör ESXI.. ))

Gå till inlägget

Docker är utvecklat för Linux och borde inte köras på något annat i produktionsmiljöer. Windows och MacOS versionerna är mera för utveckling och test.

Rapportera Redigera

Citera flera Citera (7)

idag 11:22

Permalänk

Schnitz

Medlem ★

Plats: Göteborg
Registrerad: Nov 2005

●

Observera att sårbarheten inte är i själva Docker, utan i Docker Desktop. Ett proprietärt lullull ovanpå Docker som är fullständigt onödigt och bör undvikas.

Visa signatur

Gentoo Desktop: Ryzen 3600X | 32 GB
Server: Intel G7400T
Commodore 64C + 1541u2

Rapportera Redigera

Citera flera Citera (14)

idag 11:55

Permalänk

lhugo

Medlem ★

Plats: Göteborg
Registrerad: Dec 2017

●

Skrivet av xfade:

Var det inte därför man skulle använda dockers??

(( Tur jag kör ESXI.. ))

Gå till inlägget

Vad syftar du på med "därför"?

Rapportera Redigera

Citera flera Citera (1)

idag 12:02

Permalänk

Det Otroliga Åbäket

Medlem ★

Registrerad: Jun 2019

●

Skrivet av lhugo:

Vad syftar du på med "därför"?

Gå till inlägget

Troligen att containers i viss mån är tänkta att skydda värdoperativsystemet.

Det här sätter ju fingret på ett återkommande jätteproblem med Windows design, nämligen att man gång på gång skiter i säkerhet om det gör användarupplevelsen krångligare.
Microsoft har blivit mycket bättre, men det finns mycket gammal skit som fortfarande behöver förbättras.

Rapportera Redigera

Citera flera Citera (7)

idag 12:08

Permalänk

Kamouflage

Medlem ★

Plats: 63.29340
Registrerad: Mar 2008

●

Skrivet av xfade:

(( Tur jag kör ESXI.. ))

Gå till inlägget

CVE-2018-6981
CVE-2024-22252 -- 22255

Guest to host escape och/eller host to guest information leak. Dessa är dessutom i 'riktiga' ESXi och inte 'bara' i Docker Desktop som inte är en produktionsmiljö.

Rapportera Redigera

Citera flera Citera (7)

idag 12:17

Permalänk

hakd

Medlem ★

Plats: Isla de Muerta
Registrerad: Okt 2009

●

Docker är smidigt och användbart dock aldrig kört det i en windows-miljö innan.
Jag kör Proxmox -> VM -> Debian med docker

Tar sig någon ur docker containern så är docker nedblåst till vissa mappar i debian
knäcker dom det så Debian låst till en vm i segmenterat vlan.

Härda miljön runt docker en bra rekommendation, tar lite tid att sätta upp men sitter du betydlig säkrare när någon exploit likt detta hittar ut på nätet.

Visa signatur

CPU: 5800x3d
GPU: 3080
RAM: 32GB

Sluta gömma din identitet, skaffa en till istället

Rapportera Redigera

Citera flera Citera (3)

idag 13:56

Permalänk

lhugo

Medlem ★

Plats: Göteborg
Registrerad: Dec 2017

●

Skrivet av Det Otroliga Åbäket:

Troligen att containers i viss mån är tänkta att skydda värdoperativsystemet.

Det här sätter ju fingret på ett återkommande jätteproblem med Windows design, nämligen att man gång på gång skiter i säkerhet om det gör användarupplevelsen krångligare.
Microsoft har blivit mycket bättre, men det finns mycket gammal skit som fortfarande behöver förbättras.

Gå till inlägget

Kanske men isf lite långsökt. Separationen mot värd är ju dels inte något man bör räkna med i docker jämfört med exempelvis virtuella maskiner. Vidare rör ju sårbarheten Docker Desktop och inte dockermotorn och under Windows dessutom. Rätt långt från korrekt uppsatta containrar på linuxkärna och osäker på om ESXI är bättre (eller sänre) där.

Rapportera Redigera

Citera flera Citera

idag 14:10

Permalänk

Det Otroliga Åbäket

Medlem ★

Registrerad: Jun 2019

●

Skrivet av lhugo:

Kanske men isf lite långsökt. Separationen mot värd är ju dels inte något man bör räkna med i docker jämfört med exempelvis virtuella maskiner. Vidare rör ju sårbarheten Docker Desktop och inte dockermotorn och under Windows dessutom. Rätt långt från korrekt uppsatta containrar på linuxkärna och osäker på om ESXI är bättre (eller sänre) där.

Gå till inlägget

Ett problem i det här fallet är ju att Docker desktop i det här fallet verkar ha väldigt bred tillgång till systemet på både Windows och macOS - men i det senare fallet begränsas konsekvenserna av systemets design, där användaren måste godkänna vissa sorters händelser manuellt för att de ska kunna utföras.

Totalt sett är väl rätt implementerade containers eller jails relativt säkra, men inte fullt så säkra som en virtuell maskin, som ju kör sin egen kärna.
Det är talande att de flesta exploits mot ESXi på senare tid har utnyttjat VMware Tools, som ju används för att kommunicera mellan en virtuell gäst och dess värd. Svagheterna ligger med andra ord även där i det lager som ökar användarvänligheten på bekostnad av säkerhet.

Rapportera Redigera

Citera flera Citera (1)

Allvarlig sårbarhet i Docker för Windows

Allvarlig sårbarhet i Docker för Windows

Externa nyheter