¿El Docker contiene la explotación acuñada?
https://stackoverflow.com//questions/23041744
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Supongamos, tengo un servidor openssl vulnerable en un contenedor de Docker.IO.¿Docker evita que la memoria del host se lee?
Mi suposición es, lo hace.Debido a que el error está en OpenSSL y no en el kernel y la ventana indicadora debe aislar el acceso de la raíz en el contenedor.Pero el Wikipedia solo dice "Aislamiento parcial de privilegios de la raíz" y sugiere que depende del backend.Así que especifique si responde usando libcontainer o lxc o algo más.
Solución
Si un servidor vulnerable se ejecuta en un contenedor, solo se filtrará la memoria del contenedor.
De hecho, incluso sin contenedores, solo se filtrará la memoria del proceso del servidor.Por ejemplo, si tiene un servidor APACHE + OpenSSL vulnerable y un servidor SSH que se ejecuta en la misma máquina, un atacante puede obtener fragmentos de memoria del servidor Apache, pero nunca podrá acceder a nada desde el servidor SSH.(A menos que este servidor Apache se utilice para distribuir claves privadas SSH o algo así, por supuesto ...)
Otros consejos
este Pregunta relacionada Sugiere que solo la memoria de la aplicación vulnerable se ve afectada.Y a menos que uno pueda buscar datos de inicio de sesión local o obtener de otra manera obtener acceso local de la raíz, esta pregunta es bastante irrelevante.
