Уязвимость в OverlayFS, позволяющая поднять свои привилегии в Ubuntu

Александр Панасенко 16 Июня 2015 - 10:04

...

В реализации файловой системы OverlayFS выявлена уязвимость (CVE-2015-1328), которую можно использовать для получения root-доступа на системах, в которых разрешено монтирование разделов OverlayFS непривилегированным пользователем. Достаточные для эксплуатации уязвимости настройки по умолчанию применяются во всех поддерживаемых ветках Ubuntu (12.04, 14.04, 14.10 и 15.04).

Разработчики Ubuntu уже оперативно выпустили обновление ядра Linux с исправленным модулем OverlayFS. Подверженность других дистрибутивов данной проблеме пока не подтверждена. В качестве временной меры защиты можно удалить или поместить в чёрный список модуль ядра overlayfs.ko (или overlay.ko).

Уязвимость вызвана некорректной проверкой прав доступа при создании новых файлов в директории нижележащей родительской файловой системы. Если ядро собрано с опцией "CONFIG_USER_NS=y" (включение пользовательских пространств имён) и при монтировании использован флаг FS_USERNS_MOUNT, имеется возможность монтирования OverlayFS обычным пользователем в отдельном пространстве имён, в котором в том числе допускаются операции с правами root, распространяющиеся только на данное пространство имён, передает opennet.ru.

Напомним, что пространства имён для идентификаторов пользователей (user namespaces) позволяют сформировать в контейнерах собственные наборы идентификаторов групп и пользователей, а также связанные с ними привилегии (например, в каждом контейнере/пространстве имён может быть свой root). Например, определённый пользователь может получить в контейнере особенные привилегии, которые отсутствуют у него вне контейнера, или процесс внутри контейнера может получить права root, но остаться непривилегированным вне контейнера.

Суть проблемы в том, что привилегированные операции с файлами, выполненные в созданном пространстве имён, при использовании раздела OverlayFS остаются привилегированными и при выполнении действий с нижележащей ФС. Например, можно подключить в OverlayFS системный раздел /etc и модифицировать файл с паролями, посмотреть/заменить содержимое любых закрытых директорий и файлов. Опасность проблемы продемонстрирована готовым эксплоитом, позволяющим запустить shell с правами root через создание доступного на запись файла /etc/ld.so.preload.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 19:17

Корпорации

Printum и РЕД АДМ создают единый контур управления безопасной печатью

Российская система управления печатью Printum и система централизованного управления ИТ-инфраструктурой РЕД АДМ объявили о полной технической совместимости. Интеграция позволяет выстроить единый контур управления доступом, учётными записями и печатью в корпоративных инфраструктурах — от небольших офисов до распределённых сетей с множеством филиалов.

Во многих компаниях печать и сканирование до сих пор существуют как отдельная, «параллельная» инфраструктура: с собственными настройками, администраторами и рисками утечек.

Новая интеграция меняет этот подход. Управление печатью становится частью общей доменной политики — наряду с доступом к системам, сервисам и корпоративным ресурсам.

Теперь политики печати, сканирования и копирования можно напрямую связывать с ролями и группами пользователей, а доступ назначать и отзывать централизованно — через те же механизмы, которые используются для управления доменом и объектами ИТ-инфраструктуры. Это снижает количество «слепых зон» и упрощает администрирование.

Совместная дорожная карта Printum и РЕД АДМ предполагает более глубокую интеграцию. Элементы управления печатью будут доступны непосредственно в интерфейсе РЕД АДМ, а изменения в ролях и группах автоматически будут отражаться в правах на печать, сканирование и копирование. Администратору не потребуется поддерживать отдельные инструменты или политики — всё управление будет встроено в общую доменную структуру.

Для корпоративных заказчиков это означает переход к более унифицированной модели администрирования. Все ключевые операции выполняются через единый веб-интерфейс РЕД АДМ, а печать становится полноценной частью системы контроля доступа. Интеграция также рассчитана на масштабирование: решение подходит как для небольших организаций, так и для инфраструктур федерального уровня, включая среды с несколькими доменами.

Отдельно отмечается поддержка гетерогенных инфраструктур. Printum и РЕД АДМ могут работать в средах со смешанным набором систем на базе Linux и Windows, а также выстраивать доверительные отношения с Microsoft Active Directory, что упрощает поэтапную миграцию с зарубежных решений.

В Printum называют интеграцию логичным шагом в сторону более централизованного и управляемого подхода к печати, а в РЕД СОФТ подчёркивают, что совместимость расширяет возможности РЕД АДМ как универсального инструмента управления ИТ-инфраструктурой.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »