Dirty COW es un bug en kernel, ya solucionado en el último kernel pero lógicamente aun no distribuido complemamente, que permite aprovechar una condición de race en Copy-On-Write (de ahí su nombre) para conseguir privilegios adicionales. Pero más allá de esto, que ya se ha comentado en otros artículos, permite nada menos que salir de un contenedor como Docker y conseguir permisos de root en el host. Este vídeo es una demostración completa del exploit.
Este vídeo es la demo... esto no es teórico, existe, funciona, y pueden entrar hasta la cocina. ¿compartes un servidor en algún lado y lo que tiene cada usuario es una máquina virtual? Pues cuidado que tus compañeros de server te pueden hacer un roto a poco cabrones que sean.
#1 Docker es una tecnologia para la virtualizacion en contenedores, lo que se virtualizan son los nucleos de las aplicaciones y no el sistema entero. Lo que pasa es que la tecnologia docker usa el kernel de linux para la virtualización. Hay gente que dice que son maquians virtuales muy ligeras y que se llaman contenedores por ser ejecutables. Pero yo la verdad lo llamo contenedores porque "esas maquinas" no son sistemas completos, sino un nucleo compuesto por lo estrictamente necesario del sistema para su ejecucion. Si buscas algun esquema de comparación dentre una VM y virtualizar con docker apreciaras las diferencias.
Tener cuidado y solo instalar imágenes de confianza podría no ser suficiente, alguien que tome el control del contenedor podría descargar y ejecutar el exploit.
Comentarios
Sí, hay alguna relacionada como la propia noticia:
Dirty COW el nuevo fallo de seguridad que afecta al Kernel de Linux [Eng]
Dirty COW el nuevo fallo de seguridad que afecta a...
dirtycow.ninjaEste vídeo es la demo... esto no es teórico, existe, funciona, y pueden entrar hasta la cocina. ¿compartes un servidor en algún lado y lo que tiene cada usuario es una máquina virtual? Pues cuidado que tus compañeros de server te pueden hacer un roto a poco cabrones que sean.
#1 docker no es una máquina virtual
#1 Docker es una tecnologia para la virtualizacion en contenedores, lo que se virtualizan son los nucleos de las aplicaciones y no el sistema entero. Lo que pasa es que la tecnologia docker usa el kernel de linux para la virtualización. Hay gente que dice que son maquians virtuales muy ligeras y que se llaman contenedores por ser ejecutables. Pero yo la verdad lo llamo contenedores porque "esas maquinas" no son sistemas completos, sino un nucleo compuesto por lo estrictamente necesario del sistema para su ejecucion. Si buscas algun esquema de comparación dentre una VM y virtualizar con docker apreciaras las diferencias.
¡Y cuantos otros errores críticos de seguridad habrá de los que no nos enteraremos haya pasados 10 años!
Tener cuidado y solo instalar imágenes de confianza podría no ser suficiente, alguien que tome el control del contenedor podría descargar y ejecutar el exploit.
Es realmente grave.
Tampoco es tan grave, docker sólo debe ser usado en desarrollo donde lo más que te van a hacer es ponerte de fondo de pantalla a David Hasselhoff
#5
#5 Se usa para mas cosas ademas de para desarrollar (que es lo comun, no te lo voy a negar) https://openwebinars.net/3-casos-reales-de-uso-de-docker-en-grandes-empresas/