<div dir="ltr"><div class="gmail_default" style="font-size:small">I wonder how long does it take to get the updated LXC 2.0 for Centos and Fedora.<br></div><div class="gmail_default" style="font-size:small">It does not reflect the new fixed bugs.<br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 31, 2016 at 2:16 PM, Stéphane Graber <span dir="ltr"><<a href="mailto:stgraber@ubuntu.com" target="_blank">stgraber@ubuntu.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello everyone,<br>
<br>
Today we're releasing LXD 2.0.2 as a security release for two recent CVEs.<br>
<br>
The main announcement can be found at: <a href="https://linuxcontainers.org/lxd/news/" rel="noreferrer" target="_blank">https://linuxcontainers.org/lxd/news/</a><br>
<br>
<br>
== CVE-2016-1581 ==<br>
Robie Basak noticed that after setting up a loop based ZFS pool through<br>
"lxd init" the resulting file (/var/lib/lxd/zfs.img) was world readable.<br>
<br>
This would allow any user on the system, and a potential attacker to<br>
copy and then read the data of any LXD container, regardless of file<br>
permissions inside the container.<br>
<br>
LXD 2.0.2 fixes the "lxd init" logic to always set the mode of zfs.img to 0600.<br>
<br>
Additionally a one-time upgrade step will trigger on first run and reset<br>
any existing zfs.img mode to be 0600.<br>
<br>
If you manage an affected system and suspect an unauthorized user may<br>
have accessed the zfs.img file, you should consider replacing any secret<br>
that was stored in the affected containers (private keys and similar<br>
credentials).<br>
<br>
<br>
== CVE-2016-1582 ==<br>
Robie Basak noticed that when switching an unprivileged container<br>
(default, security.privileged=false) into privileged mode (by setting<br>
security.privileged to true), the container rootfs is properly remapped<br>
but the container directory itself (/var/lib/lxd/containers/XYZ) remains<br>
at 0755.<br>
<br>
This is a problem because it allows an unprivileged user on the host to<br>
access any world readable path under /var/lib/lxd/containers/XYZ which<br>
may include setuid binaries.<br>
<br>
Such setuid binaries could then be used on the host to access otherwise<br>
unaccessible data or to escalate one's privileges.<br>
<br>
LXD 2.0.2 fixes this behavior by making sure all privileged containers<br>
are always root-owned and have their mode set to 0700 to prevent<br>
traversal by unprivileged users.<br>
<br>
Additionally a one-time upgrade step will trigger on first run and reset<br>
any existing privileged containers' ownership and mode to root:root 0700<br>
<br>
<br>
We recommend everyone update to LXD 2.0.2 as soon as possible.<br>
Especially if you are a user of loop-mounted ZFS or privileged<br>
containers!<br>
<br>
<br>
Thanks to the Ubuntu Security team for coordinating the disclosure of<br>
those two CVEs with other Linux distributions.<br>
<br>
<br>
As a reminder, the 2.0 series is supported for bugfix and security<br>
updates up until June 2021.<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
Stéphane Graber<br>
On behalf of the LXD development team<br>
</font></span><br>_______________________________________________<br>
lxc-users mailing list<br>
<a href="mailto:lxc-users@lists.linuxcontainers.org">lxc-users@lists.linuxcontainers.org</a><br>
<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br></blockquote></div><br></div>