Docker contient-il l'exploitement enthousiaste?
https://stackoverflow.com//questions/23041744
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
permet de supposer, j'ai un serveur openssl vulnérable dans un conteneur Docker.io.Docker empêche-t-il la mémoire de l'hôte lue?
Mon tuy-vot est, ça fait.Étant donné que le bug est dans OpenSSL et non dans le noyau et le docker doit isoler l'accès des racines dans le conteneur.Mais le Wikipedia ne dit que "isolation partielle de privilège racine" et suggère sa personne à charge sur le backend.Donc, veuillez spécifier si vous répondez à l'aide de libcontainer ou de LXC ou autre chose.
La solution
Si un serveur vulnérable est exécuté dans un conteneur, seule la mémoire de cette conteneur sera divulguée.
En fait, même sans conteneurs, seule la mémoire de processus du serveur sera divulguée.Par exemple, si vous avez un serveur Apache + OpenSSL vulnérable et un serveur SSH exécuté sur la même machine, un attaquant peut obtenir des fragments de mémoire à partir du serveur Apache, mais ne pourra jamais avoir accès à partir du serveur SSH.(Sauf si ce serveur Apache est utilisé pour distribuer des clés privées SSH ou quelque chose comme ça, bien sûr ...)
Autres conseils
Ce Question associée Suggère que seule la mémoire de l'application vulnérable est affectée.Et à moins que l'on puisse chercher des données de connexion locales ou d'obtenir un accès racine local, cette question est assez non pertinente.
