コンテナはなぜ安全（または安全でない）なのか - sometimes I laugh

CVE-2019-5736を覚えていますか？今年の2月に見つかったrunc（Dockerがデフォルトで利用しているコンテナのランタイム）の脆弱性で、ホストのruncバイナリを好き勝手にコンテナ内部から書き換えることができるというものです。 脆弱性の仕組みに興味があったので調べたところ、コンテナを攻撃する方法というのは他にもいろいろあって、runcは頑張ってそれを塞いでいるようです。これまとめると面白いかも、と思ったので以下のようなおもちゃを作りました。 Drofuneは簡単なコンテナランタイムです。drofune runとかdrofune execなどでコンテナを起動したり、入ったりすることができます、といえば想像がつくでしょうか。 これだけでは何も面白くないので、Drofuneはわざと安全でない実装になっています。なので、今回発見されたCVE-2019-5736を利用した攻撃も成立します

[ashrae]

海上輸送の話かと思ってそっ閉じ

[mapk0y]

chroot の脱獄はコンテナより前に話題になってたけどそれがちゃんとできるように実装されてるのは面白い

[wasarasan]

コンテナ物語、面白いよね

[pirox07]

スルーしてた。理解せねば。

[skypenguins]

未熟な理解だけど、コンテナは仮想機械(not仮想マシン)をアプリケーションの範囲まで拡大した再発明のようなものに思える

[iekusup]

ほー。

[toricls]

勉強になります

[rryu]

chrootしてもハードリンク .. を使ってcdしていけば本物の / まで遡っていけるとか何か間違っているような。

[hiiragi7777]

すごい。全然分からん

[watuki]

荷運びと技術どっちの話かと思った。技術の話だった。

[kosh04]

こういう脆弱性を自分の頭でちゃんと理解して遊び倒してみたい人生だった

[progrhyme]

ためになる

[t-wada]

わざと脆弱な実装を作ることによって、コンテナの仕組みと、攻撃と防御の手法を学ぶ。非常に面白い。

[defiant]

ん? libcontainerは普通にclone(2)を実行してるだけと思ったけど今は違うの? >> “面白いのは、runcはGoで書かれているので、forkとかcloneができず、代わりに別のコマンドを再実行することで、新しいプロセスを名前空間に紐づけて

[nilab]

コンテナはなぜ安全（または安全でない）なのか - sometimes I laugh

[UDONCHAN]

そうだね

[mrtc0]

まとまってる。僕のスライドとブログについて言及されていた。ありがたや...

[obutora]

エンジニアってすごい(棒

[washburn1975]

そら鉄でできてるからやろ、と思ったワス、ITオンチにつき低みの見物

[yarumato]

“わざと安全でない実装を作った。コンテナー攻撃コードがどのように動き、どうすれば防げるかを試す”

[sho]

脆弱な実装を公開すると兵庫県警察がやってきそう……

[dekokun]

脆弱性を突ける実装を作って実際に突いていっている。めっちゃ面白い。

[efcl]

コンテナ側からホスト側のファイルを書き換えるできる脆弱性について。 そのPOC

[kikikaikaikai]

コンテナに侵入されるんじゃなくて、ばらまいたコンテナからホストに侵入される脆弱性か、面白いです

[ALM0ND]

コンテナ(物理ではない)の話

[raimon49]

chrootに乗っかった実装だからchroot脱獄も可能といった検証。面白い。

[marmot1123]

全然分からない。前提知識が足りないのだと思う。

[inductor]

普通におもろい話だった

[tinsep19]

コンテナって楽しいんだな

[camellow]

Linuxコンテナにはあまり興味ないけどこういうお話は好きよ

[eiki_okuma]

コンテナハウスの話題……じゃなかった

[Fushihara]

海上輸送のコンテナ、世界中の船・港があのサイズを前提に動いているのはお話としてめっちゃ面白いのでぜひ調べてみよう！