Logo journal du hacker middle
  1. 6

Salut à tous, J'ai voulus comprendre comment fonctionnais la faille découverte dans docker la semaine dernière. J'ai beaucoup appris et je voulais partager avec vous :)

  • En programmation, on peut ouvrir un fichier avec son chemin, mais aussi simplement avec son file descriptor s'il a déjà été ouvert.
  • /proc/ est en fait un module du kernel qui emule l'apparence d'un répertoire.
  • /proc/self est comme un trou de vers qui permet de bypasser les restrictions du systeme de fichier.
  • La séparation des conteneurs est assurée par les namespaces qui limitent la visibilité du reste du système, mais aussi les capabilities qui limite les fonctions système accessible aux processus dans les conteneurs.
  • L'utilisation de root comme utilisateur dans les conteneurs est fréquente mais peut être très dangereuse.
    Si vous avez des questions ou des précisions j'y répondrais avec plaisir :)
  1.