В Сети появилась информация об обнаружении критической уязвимости в OpenVZ - популярной реализации технологии виртуализации на уровне операционной системы, базирующейся на ядре Linux.Уязвимость, которой уже присвоен код CVE-2014-3519, кроется в функции open_by_handle_at (), позволяющей через структуру file_handle получить доступ к файлам на смонтированной файловой системе. Имея права рута внутри контейнера (а они обычно предоставляются хостером), злоумышленник может обойти ограничения файловой системы simfs и получить полный доступ к основной файловой системе (например, другим контейнерам).Уязвимы все версии OpenVZ, основанные на RHEL6 и использующие файловую систему simfs. Доступно исправление от разработчиков.Похожая уязвимость, позволяющая выйти за пределы контейнеров, недавно была выявлена и в системе контейнерной виртуализации Docker.
Ссылка: http://feedproxy.google.com/~r/org/LOR/~3/NtFIEbII7IE/10611979