Dockerは聴覚的な悪用を含んでいますか？

Question

LETSを想定して、Docker.ioコンテナに脆弱なOpenSSLサーバーを持っています。Dockerは、ホストから読み取られているメモリを防ぐのですか？

私の会計はそうです。バグがOpenSSLに入っているため、カーネルとDockerがコンテナ内のrootアクセスを分離する必要があります。しかし、 Wikipedia のみ、「部分的なroot特権分離」のみを述べていて、バックエンドに依存しています。そのため、libContainerまたはlxcまたは他のものを使って答えるかどうかを指定してください。

Answer 1

脆弱なサーバーがコンテナ内で実行されている場合は、そのコンテナのメモリのみがリークされます。

実際には、コンテナがなくても、そのサーバのプロセスメモリのみが漏洩します。たとえば、脆弱なApache + OpenSSLサーバーと同じマシン上で実行されているSSHサーバーがある場合、攻撃者はApacheサーバーからメモリフラグメントを取得できますが、SSHサーバーから何でもアクセスできることはありません。（このApacheサーバーがSSH秘密鍵やそのようなものを配布するために使用されていない限り、もちろん...）

Answer 2

この関連質問脆弱なアプリケーションのメモリのみが影響を受けることを提案します。そして、ローカルログインデータを取得したり、地元のルートアクセスを取得できるのでない限り、この質問はかなり無関係です。