
<div dir="ltr"><div class="gmail_default" style="font-size:small">I wonder how long does it take to get the updated LXC 2.0 for Centos and Fedora.<br></div><div class="gmail_default" style="font-size:small">It does not reflect the new fixed bugs.<br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 31, 2016 at 2:16 PM, Stéphane Graber <span dir="ltr"><<a href="mailto:stgraber@ubuntu.com" target="_blank">stgraber@ubuntu.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello everyone,<br>

<br>

Today we're releasing LXD 2.0.2 as a security release for two recent CVEs.<br>

<br>

The main announcement can be found at: <a href="https://linuxcontainers.org/lxd/news/" rel="noreferrer" target="_blank">https://linuxcontainers.org/lxd/news/</a><br>

<br>

<br>

== CVE-2016-1581 ==<br>

Robie Basak noticed that after setting up a loop based ZFS pool through<br>

"lxd init" the resulting file (/var/lib/lxd/zfs.img) was world readable.<br>

<br>

This would allow any user on the system, and a potential attacker to<br>

copy and then read the data of any LXD container, regardless of file<br>

permissions inside the container.<br>

<br>

LXD 2.0.2 fixes the "lxd init" logic to always set the mode of zfs.img to 0600.<br>

<br>

Additionally a one-time upgrade step will trigger on first run and reset<br>

any existing zfs.img mode to be 0600.<br>

<br>

If you manage an affected system and suspect an unauthorized user may<br>

have accessed the zfs.img file, you should consider replacing any secret<br>

that was stored in the affected containers (private keys and similar<br>

credentials).<br>

<br>

<br>

== CVE-2016-1582 ==<br>

Robie Basak noticed that when switching an unprivileged container<br>

(default, security.privileged=false) into privileged mode (by setting<br>

security.privileged to true), the container rootfs is properly remapped<br>

but the container directory itself (/var/lib/lxd/containers/XYZ) remains<br>

at 0755.<br>

<br>

This is a problem because it allows an unprivileged user on the host to<br>

access any world readable path under /var/lib/lxd/containers/XYZ which<br>

may include setuid binaries.<br>

<br>

Such setuid binaries could then be used on the host to access otherwise<br>

unaccessible data or to escalate one's privileges.<br>

<br>

LXD 2.0.2 fixes this behavior by making sure all privileged containers<br>

are always root-owned and have their mode set to 0700 to prevent<br>

traversal by unprivileged users.<br>

<br>

Additionally a one-time upgrade step will trigger on first run and reset<br>

any existing privileged containers' ownership and mode to root:root 0700<br>

<br>

<br>

We recommend everyone update to LXD 2.0.2 as soon as possible.<br>

Especially if you are a user of loop-mounted ZFS or privileged<br>

containers!<br>

<br>

<br>

Thanks to the Ubuntu Security team for coordinating the disclosure of<br>

those two CVEs with other Linux distributions.<br>

<br>

<br>

As a reminder, the 2.0 series is supported for bugfix and security<br>

updates up until June 2021.<br>

<span class="HOEnZb"><font color="#888888"><br>

<br>

Stéphane Graber<br>

On behalf of the LXD development team<br>

</font></span><br>_______________________________________________<br>

lxc-users mailing list<br>

<a href="mailto:lxc-users@lists.linuxcontainers.org">lxc-users@lists.linuxcontainers.org</a><br>

<a href="http://lists.linuxcontainers.org/listinfo/lxc-users" rel="noreferrer" target="_blank">http://lists.linuxcontainers.org/listinfo/lxc-users</a><br></blockquote></div><br></div>