互联网搬💩集散地BGP 分频: @bakanetwork内频：https://t.me/+KeNZttiOmFtlZjE1「愿你在未来与我的既往重逢」https://timeline.byteloid.onehttps://timeline.byteloid.one/posts/2734https://timeline.byteloid.one/posts/2734Sun, 14 Jun 2026 06:18:18 GMT<a href="/search/%23%E4%BB%8A%E5%A4%A9%E5%8F%88%E7%9C%8B%E4%BA%86%E5%95%A5">#今天又看了啥</a> <a href="/search/%23security">#security</a> <a href="/search/%23CVE">#CVE</a> <a href="/search/%23docker">#docker</a><br /><b>CVE-2026-33590 — Portainer 默认配置不安全导致宿主机接管</b><br />CVSS 3.1 <b>8.2 HIGH</b><br />Portainer &lt; 2.38.0 的 Endpoint Security 默认配置过度宽松，允许普通用户（非管理员）在创建容器时启用 bind mount、privileged mode、host namespace 等高危能力，攻击者可借此挂载宿主机文件系统或以特权模式运行容器，实现从容器逃逸到宿主机的完全接管。<br /><blockquote><b>默认开启的危险配置项（共 7 项）</b>：<br />- allowBindMountsForRegularUsers — 允许挂载宿主机任意路径<br />- allowPrivilegedModeForRegularUsers — 允许特权模式<br />- allowHostNamespaceForRegularUsers — 允许共享宿主机 PID/IPC namespace<br />- allowDeviceMappingForRegularUsers — 允许访问宿主机设备<br />- allowContainerCapabilitiesForRegularUsers — 允许选择 root capabilities<br />- allowSysctlSettingForRegularUsers — 允许 sysctl 操作<br />- allowStackManagementForRegularUsers — 允许 compose stack 管理<br /><br /><b>PoC</b>：以普通用户身份认证 → 找到本地 Docker endpoint → 用 alpine 镜像 bind mount 宿主机 /etc/ → 直接读取 /etc/shadow。<br /><br /><b>修复</b>：升级至 2.38.0（STS）或 2.39.0（LTS），以上配置项默认改为 false（仅 stack 管理保留 true）。升级后需手动检查 Docker Security Settings。</blockquote><br /><br /><b>说人话：</b><br /><blockquote>Portainer 老版本有个问题：<b>管理员给你建了个普通账号，你能自己开个容器把整台宿主机的硬盘挂进去</b>，然后随便翻文件、读密码、写 crontab——等于直接拿下宿主机 root。<br />原因是 Portainer 默认把 7 个高危开关全部打开了，比如"允许普通用户挂载宿主机目录""允许特权模式"。<br /><b>你需要升级版本</b>，然后去 Settings → Docker Security Settings 确认那些开关都关了。如果你是多人共用的 Portainer 实例，建议顺便审一下历史容器有没有被滥用过。</blockquote><br /><i><b>🔗</b></i> <a href="https://intwave.com/blog/2026/02/26/improving-portainer-security.html" target="_blank">技术分析博文</a> · <a href="https://intwave.com/advisory/2026/06/12/cve-2026-33590-portainer.html" target="_blank">安全公告</a><br /><br />感觉这个漏洞本质上是个设计缺陷而非代码 bug，默认信任用户不会滥用容器特权，不过在多用户环境下还是有很大风险。<a href="https://intwave.com/blog/2026/02/26/improving-portainer-security.html" target="_blank"> <div>Intwave</div> <div>Improving Portainer Security</div> <div>Product Security Services</div> </a>https://timeline.byteloid.one/posts/2139https://timeline.byteloid.one/posts/2139Sat, 09 May 2026 05:08:36 GMT<a href="/search/%23%E4%BB%8A%E5%A4%A9%E5%8F%88%E7%9C%8B%E4%BA%86%E5%95%A5">#今天又看了啥</a> <a href="/search/%23security">#security</a> <br /><b>io_uring ZCRX Freelist LPE — 从 u32 到 root</b> -- ze3tar<br /><a href="https://ze3tar.github.io/post-zcrx.html" target="_blank">https://ze3tar.github.io/post-zcrx.html</a><br /><br /><b>漏洞概要</b><br />- Linux 6.15~6.19 中 io_uring 新子系统 ZCRX（零拷贝收包）存在 <b>OOB（越界）堆写入</b>漏洞<br />- 漏洞位置：<code>freelist[]</code> 管理空槽索引时，<code>free_count</code> 无上界检查，导致写入 <code>freelist[num_niovs]</code>（超尾 4 字节）<br />- 写入值：niov 索引，范围 [0, N-1] —— 看似没用，实则致命<br /><br /><b>触发条件</b><br />- 需要 <b>CAP_NET_ADMIN</b> 权限<br />- 需要支持 ZCRX 的物理网卡（Mellanox ConnectX-6+、Intel E800、NFP 等）<br />- 触发方式：网卡 down（<code>SIOCSIFFLAGS ~IFF_UP</code>）→ <code>page_pool_destroy()</code> → 两条路径（ptr_ring drain + scrub loop）重复入栈导致 <code>free_count</code> 溢出<br /><br /><blockquote><b>利用链</b><br />1. <b>选择 area 大小</b> → 控制 num_niovs → 控制 freelist 所在的 slab cache → 控制相邻对象<br />2. <b>堆喷 msg_msg</b>（kmalloc-128）→ 让 freelist 与 msg_msg 相邻<br />3. <b>触发 OOB</b> → 覆盖相邻 msg_msg 的 <code>m_list.next</code> 低 4 字节<br />4. <b>msgrcv 堆读取</b> → 扫描内核指针 → 破解 KASLR<br />5. <b>写 modprobe_path</b>（通过 <code>/proc/sys/kernel/modprobe</code>）→ 指向恶意脚本<br />6. <b>触发未知 socket 协议</b> → <code>call_usermodehelper</code> → 提权为 root<br /><br /><b>修复</b><br />- commit <code>770594e</code>（2026-04-21），在 <code>io_zcrx_return_niov_freelist</code> 中增加 <code>free_count &gt;= num_niovs</code> 检查<br />- 尚未合入任何 stable 分支，仍在路上的内核均有风险<br /><br /><b>PoCs 已公开</b><br />- <code>zcrx_crash.c</code> — 纯 OOB 触发验证<br />- <code>zcrx_lpe.c</code> — 完整 LPE 利用链（KASLR + modprobe_path + SUID bash）</blockquote><br /><br />一句话：<b>io_uring 新版 ZCRX 没做边界检查，网卡 down 时重复入栈写穿 slab，一个 0~31 的小整数一路打到 root。</b> <i><b>🔥</b></i><br /><br />需要高端网卡，散了散了