OpenVZの脆弱性(CVE-2015-2925 bind mount/simfsコンテナからの脱出)について - 不意に何かを残すブログ
日本語の情報が無かったようなのでメモ。 2015年4月にbind mountによるコンテナ脱出に利用可能な脆弱性 CVE-2015-2925 が公表され、OpenVZもカーネルパッチを二ヶ月遅れながら出しています。 https://access.redhat.com/security/cve/CVE-2015-2925 https://bugzilla.openvz.org/show_bug.cgi?id=3256 念のため、これは一年前(2014年6月)に公開された CVE-2014-3519 と同様にコンテナ脱出可能な脆弱性ですが別件です。前回はopen_by_handleのコンテナ対応漏れでしたが、今回はbind mountからのトラバーサルでの脱出を利用したものです。 この脆弱性を悪用するとコンテナ外のファイルシステムにアクセスできるため、同一マシン上の他のコンテナやホストシステム
Serversman@VPSのネットワーク不調・TCP接続失敗 - 不意に何かを残すブログ
Serversman@VPSのネットワークが不調でTCP接続確立やコネクション維持に問題が起きている。 サポートに問い合わせても個別事象でしかないそうなので、利用者の方はチェックしてみてほしい。 TCPのSynのドロップ TCPポートの死活監視をしていると、TCP接続タイムアウトがしばしば発生する。どうやら同一ソースIPアドレスからのTCP synを(おそらくsyn flood対策として)かなり厳しく制限しているようだ。 特に、連続してTCPを張ろうとするとドロップするため低頻度でポーリング監視している普通のモニターツールからは障害が見えにくい。 リモートからApache Benchで小さなファイルにアクセスさせてみたところ、 ab -n 32 -c 4 http://example.com/test.txt (4並列で32回アクセス) はTCP synの再送中にタイムアウトしてしまった。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
