Incusはシステムコンテナおよび仮想マシンマネージャーです。バージョン6.0.6未満および6.19.0未満のIncusには、特権のないユーザーが `security.shifted` プロパティが `true` に設定されたカスタムストレージボリュームをアタッチしたコンテナにrootアクセスでき、さらにホストにも特権のないユーザーとしてアクセスできる環境で問題が発生します。最もよく見られるケースとして、より権限の低い `incus` グループを使用した `incus-user` システムがあり、この場合は特権のないユーザーにIncusへの限定的なアクセスを提供します。これらのユーザーは必要なプロパティを持つカスタムストレージボリュームを(カーネルおよびファイルシステムがサポートしていれば)作成でき、コンテナ内からsetuidバイナリを書き込んでホスト上の特権のないユーザーとしてそのバイナリを実行することでroot権限を取得する可能性があります。この問題の修正はバージョン6.0.6および6.19.0で提供される予定です。回避策として、修正版のIncusが導入されるまで権限を手動で制限できます。
|