Skip to main content

Bboysoul的博客

Bboysoul的博客
📢 频道公告

欢迎关注我的推特: @bboysoulcn

对频道有任何意见欢迎发邮件:
📧 [email protected]

  3. Forwarded from 🐱MiaoTony's Box | 困困困 zzz (MiaoTony 🐱)
    #今天又看了啥 #security #CVE #docker
    CVE-2026-33590 — Portainer 默认配置不安全导致宿主机接管
    CVSS 3.1 8.2 HIGH
    Portainer < 2.38.0 的 Endpoint Security 默认配置过度宽松,允许普通用户(非管理员)在创建容器时启用 bind mount、privileged mode、host namespace 等高危能力,攻击者可借此挂载宿主机文件系统或以特权模式运行容器,实现从容器逃逸到宿主机的完全接管。
    默认开启的危险配置项(共 7 项)
    - allowBindMountsForRegularUsers — 允许挂载宿主机任意路径
    - allowPrivilegedModeForRegularUsers — 允许特权模式
    - allowHostNamespaceForRegularUsers — 允许共享宿主机 PID/IPC namespace
    - allowDeviceMappingForRegularUsers — 允许访问宿主机设备
    - allowContainerCapabilitiesForRegularUsers — 允许选择 root capabilities
    - allowSysctlSettingForRegularUsers — 允许 sysctl 操作
    - allowStackManagementForRegularUsers — 允许 compose stack 管理

    PoC:以普通用户身份认证 → 找到本地 Docker endpoint → 用 alpine 镜像 bind mount 宿主机 /etc/ → 直接读取 /etc/shadow。

    修复:升级至 2.38.0(STS)或 2.39.0(LTS),以上配置项默认改为 false(仅 stack 管理保留 true)。升级后需手动检查 Docker Security Settings。


    说人话:
    Portainer 老版本有个问题:管理员给你建了个普通账号,你能自己开个容器把整台宿主机的硬盘挂进去,然后随便翻文件、读密码、写 crontab——等于直接拿下宿主机 root。
    原因是 Portainer 默认把 7 个高危开关全部打开了,比如"允许普通用户挂载宿主机目录""允许特权模式"。
    你需要升级版本,然后去 Settings → Docker Security Settings 确认那些开关都关了。如果你是多人共用的 Portainer 实例,建议顺便审一下历史容器有没有被滥用过。

    🔗 技术分析博文 · 安全公告

    感觉这个漏洞本质上是个设计缺陷而非代码 bug,默认信任用户不会滥用容器特权,不过在多用户环境下还是有很大风险。
    Intwave
    Improving Portainer Security
    Product Security Services

  19. 📰 FreshRSS 订阅

    1. Docker Multi-Platform Builds for Node.js: Stop Playing Architecture Roulette in CI
    2. TOC Election 2026
    3. Arp 185:
    4. js8notifier.py - notifies of JS8 Messages via Pushover
    5. What job interviews taught me about Kubernetes
    6. A trillion dollars
    7. Database Sharding with PostgreSQL and Node.js: A Practical Guide to Horizontal Scaling
    8. PostgreSQL Audit Logging: Track Every Data Change Without Application Code
    9. 「译」设置并使用 Pi 编码代理
    10. I built a private ChatGPT for my family
    11. Can you reproduce this App Store Connect bug?
    12. I Built a Compact Raspberry Pi Cluster Using The Makera Z1 Desktop CNC Machine
    13. Doing the rounds
    14. The NULL in your NOT IN
    15. The Instructure Canvas Breach (2026): How XSS in a Support Ticket Compromised 275 Million Students
    16. A brief history of KV cache compression developments
    17. Albanians Mobilize Against Jared Kushner Plan for Resort on Pristine River Delta
    18. Exploring Cloud Native projects in CNCF Sandbox. Part 6: 9 arrivals of Spring 2025
    19. 剧本锻造 – 将一个想法,变成真正可以拍出来的剧本[Skill]
    20. 派评 | 近期值得关注的 App
    21. 具透 | 思考、打磨、加速:iPadOS 27 首个开发者测试版中值得关注的新内容
    22. 从 BANG!CASE 到 AI Display:我为什么想给 AI 在桌面留一个位置
    23. Snapseed 4.0:Google 终于想起了这款「免费修图神器」
    24. It took me several hours to switch to a 2.5G modem
    25. 从月球漫步到赛博都市,WBench 测出了世界模型的边界
    26. 把18亿颗星星画在一张图上,能还原我们拍到的银河吗?
    27. Can 1.8 Billion Stars Recreate the Milky Way We Photograph?
    28. 115 网盘特价:2年150(无空间),3年498,8年800|比买硬盘划算
    29. 线下活动|CiGA Game Jam 2026 广州荔湾少数派站召集令
    30. AI GPUs probably live longer than three years
    31. 2026-06-15 打工人日报
    32. 发现频道:最近10日的热门排行榜[2026年第24期]
    33. 京牌夫妻过户避坑指南:这些细节提前知道少跑腿
    34. Spotlight on SIG Storage
    35. 派早报:Fable 5 和 Mythos 5 模型因美国商务部禁令下线
    36. from hookswitch to grave

  20. 🚀 Hacker News

    1. Your ePub Is fine
    你的 ePub 没问题

    2. Iroh 1.0
    伊罗1.0

    3. Curl will not accept vulnerability reports during July 2026
    Curl 在 2026 年 7 月期间将不接受漏洞报告

    4. What happened to nerds?
    书呆子怎么了?

    5. Windows 11 users are tired of MS account requirements creeping into everything
    Windows 11 用户厌倦了无处不在的 MS 帐户要求

    6. CrankGPT
    曲柄GPT

    7. Ask HN: Has anyone replaced Claude/GPT with a local model for daily coding?
    问 HN:有人用本地模型替换 Claude/GPT 进行日常编码吗?

    8. TinyWind: A pixel pirate sailing game with real wind physics (380k+ kms sailed)
    TinyWind:具有真实风物理原理的像素海盗航海游戏(航行超过 38 万公里)

    9. Apple Foundation Models
    苹果基金会模型

    10. I indexed 669 GB of my GoPro videos using my M1 Max computer and local ML models
    我使用 M1 Max 计算机和本地 ML 模型对 669 GB 的 GoPro 视频建立了索引

    11. Even more batteries included with Emacs
    Emacs 附带更多电池

    12. Formal methods and the future of programming
    形式化方法和编程的未来

    13. A backdoor in a LinkedIn job offer
    LinkedIn 工作机会中的后门

    14. Linux 7.1
    Linux 7.1

    15. Ask HN: What are you working on? (June 2026)
    问 HN:你在做什么? (2026 年 6 月)

    16. Hetzner increased dedicated server prices 3-4x
    Hetzner 将专用服务器价格提高了 3-4 倍

    17. Hetzner Price Adjustment
    赫茨纳价格调整

    18. Salesforce to Acquire Fin (formerly Intercom) for $3.6B
    Salesforce 以 $3.6B 收购 Fin(前身为 Intercom)

    19. The Birth and Death of JavaScript (2014)
    JavaScript 的诞生与消亡 (2014)

    20. A 'cold blob' in the Atlantic could be a sign of AMOC shutdown
    大西洋的“冷斑”可能是 AMOC 关闭的迹象

    21. Fox to buy Roku
    福克斯收购Roku

    22. Typst 0.15.0
    打字机 0.15.0