🔏 Немного секурити в канале с утра. Есть вот такой PoC возможности выйти за пределы контейнера с помощью эксплуатации механизма notify_on_release, доступном в cgroup v1. Справедливости ради, стоит отметить, что выполнить такой финт можно в контейнерах, запущенных с --privileged.

Ребята работающие над LKRG проверили и убедились, в системе, где LKRG установлен, таким образом из контейнера сбежать не получится, благодаря ограничениям, которые при этом создаются. Подробнее об этом можно прочитать в отдельном посте.

#cgroup #security #lkrg