Manabu Ori

@ten_forward 同じ理解です。ホストの/bin/suが汚染された場合は、普通はコンテナ内の/bin/suとはi-nodeが異なるので、ページキャッシュも異なるはずです。元の私のツイートが140文字におさめようとして言葉足らずだったかもです...

@orimanabu ありがとうございます。理解が合ってて良かったw 最初、例えばホスト上の/bin/suが汚染されたら、コンテナ内の/bin/suも汚染されるのか!?と思ってしまい…（ページキャッシュってそんな仕組みやっけ？と調べてしまいw）

今回のCopy Fail、コンテナホストでページキャッシュが汚染されると、該当ファイルをイメージ内に持つ全てのコンテナに影響するの凶悪すぎる。汚染されたコードでどれくらい実害を及ぼせるかについては、別のセキュリティ機構(user namespaceとかAppArmor/SELinuxとか)である程度守れるかもだけど

@ten_forward はい、あるコンテナA内で、Lower側のファイルのページキャッシュが汚染されたとして、別のコンテナBが同じLowerの同じファイルを見に行った際は汚染されたページキャッシュを参照するので、コンテナBにも影響が及ぶ、と思ってます

@orimanabu これって、コンテナホスト上に存在するコンテナイメージ用のファイルが汚染されると、という意味ですかね？ つまりコンテナホスト上のOverlayFSのLower側にあるファイルに対するキャッシュが汚染されたら、同じLowerを持つコンテナイメージすべてに影響が及ぶということでしょうか？

@hacker_infra ご指摘ありがとうございます、"--privileged"はやりすぎで、代わりに"--security-opt label=disable --cap-add bpf,sys_admin"で実行できます

コンテナを特権モードじゃないとふせげないのか・・・。そりゃそうか・・・カーネルに影響する脆弱性だしね。これ案外重要なことだけど、 普通コンテナを特権モードで動かさない 逆の発想をしているのが奥が深い。

この部分に興味がある人は組み込み適正があるので、ぜひlibcのコードを読んでみてほしい。 mainの前、printfの向こうを知るのはたのしいよ。

ヨルシカをあんま知らない人に教えると驚かれること第1位 🥇ヨルシカのベースはキタニタツヤが弾いてる

40〜50代サッカーファンが抱く「イラン怖いイメージ」、ほぼ全てダエイとアジジとマハダヴィギア

いいですか。落ち着いて聞いてください 明日の振替休日が終わったら次の祝日休みは　文　化　の　日　（　11　月　）　です

相当安定してきたので使ってほしい何卒何卒 github.com/takeokunn/nskk…

みんなで赤ちゃんになって少子化を食い止めませんか

広島風

このBPFプログラムをロードすると、socket_bindフックで「AF_ALG かつ salg_type == "aead"」のbindシステムコールをEPERMで拒否します。もし明示的に該当する処理を行っているワークロードがあれば、うまく動かなくなりますのでご注意ください。念のため事前に十分テストを行ってから使用してください。 個人的には、おそらく一般的な環境の一般的なワークロード(OpenSSLとかOpenSSHとかIPSec/XFRMとか)では影響はないとは思いますが... というか明示的にAF_ALGを使っているのって何だろ...

非公式ですが、OpenShiftの中の人が作った、eBPFを使って再起動なしでCopy Fail(CVE-2026-31431)をmitigateする実装です。AF_ALG AEADのbindをブロックするeBPFプログラムをDaemonSetでばらまいてロードします。kubectl apply -f daemonset.yamlするだけ github.com/openshift/bloc… #openshiftjp

IREN is acquiring Mirantis. Our advantage is infrastructure and execution. This builds on existing capabilities and strengthens how compute is deployed, managed and operated. Read more: iren.gcs-web.com/static-files/8…

全国のPodmanユーザーのみなさま、5/11-5/15でPodman 6.0 Test Daysやります。もしご興味ありましたら、ぜひv6.0のテストにご協力いただけると助かります。リンクされているWikiページにしたがってFedora 45 Rawhideの環境作ってコマンド打つ、という流れ...のはず communityblog.fedoraproject.org/join-us-for-po… #podmanjp

コンテナイメージのURLがtwitterに改ざんされるのつらい。。実行コマンドは sudo podman run --rm -it --privileged quay.io\/openshift\/block-copyfail です(バックスラッシュ取って実行してください)

これ、RHELでも(多分RHELに限らず多分別のdistroでも)使えますのでよろしくどうぞ。`sudo podman run --rm -it --privileged quay.io/openshift/bloc…` と実行しておくと、脆弱性を突こうとすると BLOCKED pid=3731 comm=python3.12 time=2026-05-05 09:17:58 みたいなログを出して止めてくれます

@xotaki BPFコードをロードするプログラムがDaemonSetのPodで動きます。脆弱性を突くシステムコールをBPFコードがブロックしたら、リングバッファ経由でPodのログに出力されます

@orimanabu ありがとうございます。 MachineConfigじゃないんですね。再起動なしで適用できるのがありがたいですが、仕組みがいまいちピンとこないです、、

RHEL8の修正カーネルも出ました access.redhat.com/errata/RHSA-20…

Copy Fail(CVE-2026-31431)のRHEL9, 10の修正カーネル出ました RHEL9: access.redhat.com/errata/RHSA-20… RHEL10: access.redhat.com/errata/RHSA-20…

Red Hat製品のCopy Fail(CVE-2026-31431)関連情報はここをご参照ください access.redhat.com/security/cve/c… RHEL、OpenShift(ROSA/ARO等の各種マネージドサービス含む)の緩和策が記載されたナレッジのリンクもここに集約されています。右上のFollowボタンを押しておく更新時にメール通知がきます

インドカレー