Enthält Docker den heftigen Exploit?
https://stackoverflow.com//questions/23041744
-
21-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Angenommen, ich habe einen anfälligen OpenSSL-Server in einem Docker-Container.Verhindert Docker Speicher mit dem Speicher von dem Host, der gelesen wird?
meine berührung ist, es tut es.Da der Fehler in OpenSSL ist und nicht im Kernel und Docker den Root-Zugriff im Container isolieren sollte.Aber das Wikipedia sagt nur "Partial Root ROOT PRIVILEGE ISOLATION" und schlägt darauf hin, dass sie vom Backend abhängig ist.Bitte geben Sie bitte an, wenn Sie mit libcontainer oder lxc oder etwas anderes antworten.
Lösung
Wenn ein anfälliger Server in einem Container ausgeführt wird, wird nur der Speicher des Containers durchgesickert.
In der Tat, auch ohne Container, wird nur der Prozessspeicher dieses Servers durchgesickert.Wenn Sie beispielsweise über einen anfälligen Apache + OpenSSL-Server und einen auf demselben Computer ausgeführten SSH-Server haben, kann ein Angreifer Speicherfragmente vom Apache-Server abrufen, jedoch niemals den Zugriff auf alles vom SSH-Server erhalten.(Es sei denn, dieser Apache-Server wird verwendet, um SSH-Privatschlüsse oder so ähnlich wie möglich zu verteilen ...)
Andere Tipps
Dies Ähnliche Frage Schlagen Sie vor, dass nur der Speicher der gefährdeten Anwendung betroffen ist.Und es sei denn, man kann lokale Anmeldedaten abrufen oder auf andere Weise den lokalen Root-Zugriff gewinnen, diese Frage ist ziemlich irrelevant.
