Podman rootless: контейнеры без прав, но с сюрпризом — Copy Fail эксплойт

Разработчики, которые думали, что rootless контейнеры в Podman — это священный грааль безопасности, возможно, захотят присесть. Исследователь наткнулся на забавную (но не очень) уязвимость Copy Fail, которая позволяет злоумышленнику внутри контейнера копировать файлы наружу, не имея на то прав. Да-да, тот самый случай, когда «без root» не значит «без проблем».

Суть уязвимости в том, что при копировании файлов из контейнера на хост с помощью podman cp, процесс внутри контейнера может манипулировать файловой системой так, чтобы вместо нужного файла подсунуть, например, ссылку на чувствительные данные. Это классический «symlink attack», но в контексте rootless контейнеров он выглядит особенно пикантно: ведь мы так старательно выключали привилегии, а тут такое.

Разработчики Podman уже в курсе и, скорее всего, готовят патч. Но пока его нет, советуем не копировать файлы из ненадёжных контейнеров без дополнительной проверки. Или, как вариант, использовать обычные root-контейнеры — там хотя бы понятно, кто виноват.

Комментарий METABYTE: Мы тоже любим rootless, но доверять контейнерам без проверки — это как оставить ключи от квартиры в замке и надеяться на честность грабителей. При разработке всегда учитывайте векторы атак, даже если кажется, что вы в безопасности.