Майк Новограц: Переназначение Джерома Пауэлла навредит биткоину

После предложения Джо Байдена оставить Джерома Пауэлла председателем ФРС на второй срок на криптовалютном рынке стало расти чис...
26.11.2021
10

Биткоин-майнеры не могут подключиться к пулам. Виноват Китай

Несколько крупных майнинг-пулов, включая Binance Pool, F2pool, Poolin и ViaBTC, за последние 24 часа объявили о проблемах с под...
26.11.2021
85

Топ-3 подорожавших токена этой недели

Несмотря на снижение биткоина на 5% на текущей неделе и снижение общей капитализации крипторынка до $2,56 трлн, некоторые альтк...
26.11.2021
10

В деле SEC против Ripple может быть замешан конфликт интересов

Телеканал Fox Business опубликовал масштабное расследование дела Комиссии по ценным бумагам и биржам США (SEC) против финтех-ко...
26.11.2021
8

Сэм Бэнкман-Фрид: Solana может потеснить биткоин и Ethereum

26.11.2021
7
Благодаря своей масштабируемости Solana может не только стать ведущим блокчейн-протоколом, но и превратиться в новый Ethereum или биткоин. Об этом заявил глава криптовалютной биржи FTX Сэм Бэнкман-Фрид в интервью Kitco News. «Я оптимистично смотрю на Solana. У нее есть все шансы сделать это, что очень инте...

Михаэль ван де Поппе ждет крупного падения цены трех альткоинов

26.11.2021
6
Трейдер Михаэль ван де Поппе посоветовал инвесторам закрыть позиции в альткоинах Decentraland, The Sandbox и Elrond. По мнению аналитика, эти токены показали значительный рост и в ближайшее время могут перейти в фазу глубокой коррекции. Об этом пишет РБК Крипто. Decentraland 25 ноября токен Decentraland об...

Джед Маккалеб не продавал токены XRP уже несколько месяцев

26.11.2021
5
Согласно информации на сайте jed.tequ.dev, соучредитель Ripple Джед Маккалеб не продавал XRP с конца августа этого года. Это один из самых продолжительных периодов, в течение которого он не избавлялся от своих активов. Данные показывают, что последняя продажа состоялась 12 недель назад, когда бывший технич...

Майк Новограц: Переназначение Джерома Пауэлла навредит биткоину

26.11.2021
10
После предложения Джо Байдена оставить Джерома Пауэлла председателем ФРС на второй срок на криптовалютном рынке стало расти число медведей. Об этом в эфире CNBC заявил основатель криптобанка Galaxy Digital Майк Новограц. Топ-менеджер усомнился в том, что Пауэлл смог осознать экономическую реальность США. П...
Загрузить больше постов

Оставаться в границах

Корпорация Microsoft устранила уязвимость в Azure Container Instances, которая позволяла перехватывать контроль над чужими контейнерами.

Уязвимость под названием Azurescape давала возможность злоумышленникам выполнять команды в контейнерах, принадлежащих другим пользователям, и получать доступ к любым данным в них.

Azure Container Instances (ACI) — это облачный сервис, позволяющий компаниям размещать контейнированные приложения (контейнеры) в облаках. Все исполняемые файлы, зависимости и прочие данные, необходимые для запуска конкретного приложения, хранятся внутри единого пакета для минимизации усилий по их распространению и развертыванию.

При размещении контейнера в облаке Azure, он изолируется от всех остальных, чтобы не допустить взаимодействия между ними и использования общего пространства в памяти.

Microsoft устранила баг, позволяющий захватывать контейнеры в Azure

Однако, как выяснили эксперты Palo Alto Networks, существует возможность компрометации многопользовательских кластеров Kubernetes, в которых хостятся ACI.

Корпорация Microsoft проинформировала своих клиентов, которых может затрагивать уязвимость Azurescape, о необходимости сменить привилегированные реквизиты доступа к контейнерам, развернутым в Azure до 31 августа 2021 г.

Пятилетний код

По словам Юваля Аврахами (Yuval Avrahami) эксперта Palo Alto Networks, ACI использует почти пятилетней давности код, в котором выявлены уязвимости, допускающие выход за пределы контейнеров.

«RunCv1.0.0-rc2 вышел 1 октября 2016 г. и содержал как минимум две уязвимости, позволяющие выходить за пределы контейнера. Одну из них, CVE-2019-5736, мы анализировали в 2019 г.», — отметил Аврахами.

Эксплуатации этой уязвимости достаточно для того, чтобы выйти за пределы контейнера и обеспечить себе возможность запуска кода на уровне хоста (узла Kubernetes) с повышенными привилегиями.

«Довольно странно, что столь серьезная уязвимость потребовала в общей сложности пять лет на устранение, — говорит Алексей Водясов, технический директор компании SEC Consult Services. — Особенно ввиду того, что под угрозой могли оказываться сразу множество контейнеров, а не только данные в каком-то отдельно взятом приложении в облаке. Впрочем, устаревший код — постоянная проблема для масштабных систем: заменить его без ущерба для функционирования всего комплекса не всегда легко».

Источник