1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
#use wml::debian::translation-check translation="1d1c1ba842e225bf68a6fed5744786cc779234f7" maintainer="Lev Lamberov"
<define-tag description>обновление безопасности LTS</define-tag>
<define-tag moreinfo>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-6441">CVE-2013-6441</a>
<p>Шаблон сценария lxc-sshd используется для монтирования его в качестве /sbin/init в
контейнере, используя монтирования с опцией bind и возможностью перезаписи.</p>
<p>Данное обновление решает указанную выше проблему, используя монтирование с опцией bind
и без возможности записи, что предотвращает любое потенциальное ненамеренное повреждение данных.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2015-1335">CVE-2015-1335</a>
<p>При запуске контейнера lxc устанавливает изначальное дерево файловой системы
контейнера, выполняя несколько раз монтирование, которое осуществляется в соответсвии с файлом
настройки контейнера.</p>
<p>Владельцем файла настройки контейнера является администратор или пользователь узла, поэтому
защита от плохих записей в нём отсутствует. Тем не менее, поскольку цель монтирования
находится в контейнере, постольку возможно, что администратор контейнера
изменил монтирование с помощью символьных ссылок. Это может позволить обойти настройки контейнера
при его запуске (то есть изоляцию контейнера, владельцем которого является суперпользователь,
с помощью ограничивающего правила apparmor, путём изменения требуемой записи в
/proc/self/attr/current), либо обойти правило apparmor (на основе пути)
путём изменения в контейнере, например, /proc на /mnt.</p>
<p>Данное обновление реализует функцию safe_mount(), которая не позволяет lxc
выполнять монтирование в символьные ссылки.</p></li>
</ul>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/lts/security/2016/dla-442.data"
# $Id$
|
