O Docker contém a exploração ouvida?
-
21-12-2019 - |
Pergunta
permite supor, eu tenho um servidor openssl vulnerável em um contêiner Docker.io.O Docker impede a memória do host sendo lido?
Minha assupção é, ela faz.Como o bug está no OpenSSL e não no kernel e no Docker deve isolar o acesso raiz no contêiner.Mas o Wikipedia apenas diz "isolamento parcial do privilégio da raiz" e sugere que depende do back-end.Então, por favor, especifique se você responder usando libcontainer ou lxc ou outra coisa.
Solução
Se um servidor vulnerável é executado em um contêiner, apenas a memória do contêiner será vazada.
Na verdade, mesmo sem contêineres, apenas a memória de processo do servidor será vazada.Por exemplo, se você tiver um servidor Vulnerable Apache + OpenSSL e um servidor SSH em execução na mesma máquina, um invasor pode obter fragmentos de memória do servidor Apache, mas nunca poderá obter acesso a qualquer coisa do servidor SSH.(A menos que este servidor Apache seja usado para distribuir chaves privadas do SSH ou algo assim, claro ...)
Outras dicas
isto pergunta relacionada sugere apenas a memória do aplicativo vulnerável é afetada.E a menos que se possa buscar dados de login locais ou ganhar acesso raiz local, esta questão é bastante irrelevante.