On Thu, Jan 04, 2007 at 01:44:24PM +0300, Алексей Данилович wrote:
> > > mount -t iso9660 /dev/hda  /mnt/cdrom/
> ....................................
> > > And it tells me that iso9660 is not supported by the kernel.
> ......................
> > Oh, you are right. isofs is disabled by default in VE, since
> > it is a potential security risk.
> > You can apply the following patch to enable it:
> > http://download.openvz.org/contrib/kernel-patches/isofs.patch
> 
> Опаньки!!!!! Интересно, а в чем заключается угроза безопасности?

В реализации драйвера isofs.  С помощью файловой системы специального вида
можно организовать атаку на этот драйвер с последствиями от kernel oops до
arbitrary code execution in kernel context.  Несколько раз за последние
несколько лет сообщалось о конкретных ошибках такого рода.

Применительно к openvz, root в контейнере с использованием драйвера isofs
может попробовать privilege escalation.

> Ведь сидюк не примонтируешь, пока не проброшено устройство....
> И еще. Интересно, никто не соберется пересобрать соотв. ядро и
> выложить его в сизиф как еще один вариант? Или Мэтры считают, что это
> делать совсем неправильно?

Было бы лучше не собирать ещё одно ядро, в сделать это конфигурируемым
runtime примерно так же, как сейчас можно "разрешить" nfs.


-- 
ldv