[Comm] непривелегированный контейнер lxc - как создать и запустить?

Mikhail Efremov sem на altlinux.org
Сб Окт 8 02:19:44 MSK 2016


On Fri, 7 Oct 2016 23:14:34 +0300 Alexander wrote:
> 26.09.2016 00:13, Mikhail Efremov пишет:
> > Подозреваю, что lxc-create хочет suid'ный newuidmap. У нас же все
> > эти утилиты не suid'ные. Наверно нужно добавить соответствующий
> > control в пакет. Причем мне помнится, что где-то в этих утилитах
> > была уязвимость в случае их suid'ности.
> >  
> А не помните что там за уязвимости были?
> Пользовательский контейнер запустил,но хотелось бы понять чем рискую
> в случае suid-ного newuidmap.

https://github.com/shadow-maint/shadow/issues/28
Я уже не помню детали, было некоторое обсуждение в oss-security.
В ближайшее время постараюсь все это вспомнить и приложить у нас патчи.

-- 
WBR, Mikhail Efremov


Подробная информация о списке рассылки community