Докер содержит эксплуатацию ookbleed?
-
21-12-2019 - |
Вопрос
Давайте предположим, у меня есть уязвимый сервер OpenSSL в контейнере Docker.io.Docker предотвращает память от читания хоста?
Мой атализация это, это делает.Потому что ошибка находится в OpenSSL, а не в ядре, и Docker должен изолировать корневой доступ в контейнере.Но Wikipedia только говорит: «Частичная изоляция корневой привилегии» и предлагает его зависимым от бэкэнда.Поэтому, пожалуйста, укажите, отвечаете ли вы, используя libcontainer или lxc или что-то еще.
Решение
Если в контейнере работает уязвимый сервер, только эта память контейнера будет протекать.
Фактически, даже без контейнеров, только эта процесса сервера будет протекать.Например, если у вас есть уязвимый сервер Apache + OpenSSL и сервер SSH, работающий на одной и той же машине, атакующий может получить фрагменты памяти с сервера Apache, но никогда не смогут получить доступ к чему-либо с SSH-сервера.(Если этот сервер Apache не используется для распространения частных клавиш SSH или что-то в этом роде, конечно ...)
Другие советы
Это связанный вопрос Предлагает только память о уязвимом применении затронута.И если никто не может получить локальные данные входа или иным образом получить локальный доступом к корню, этот вопрос довольно не имеет значения.