Docker是否包含Heardbleed漏洞?
假设我在一个Docker.io容器中有一个易受攻击的OpenSSL服务器。 Docker是否阻止正在读取的主机的内存?
我的保证是,它的确如此。 因为这个错误在OpenSSL中,而不是在内核中,Docker应该隔离容器中的根访问权限。 但是维基百科只说“部分root权限隔离”,并build议它依赖于后端。 所以请指定是否使用libcontainer或lxc或其他方式回答。
如果易受攻击的服务器在容器中运行,则只有该容器的内存会泄漏。
事实上,即使没有容器,只有该服务器的进程内存将被泄漏。 例如,如果您的Apache + OpenSSL服务器和运行在同一台计算机上的SSH服务器存在漏洞,则攻击者可以从Apache服务器获取内存碎片,但永远无法从SSH服务器访问任何内容。 (除非这个Apache服务器用于分发SSH私钥或类似的东西,当然…)
这个相关的问题表明只有脆弱的应用程序的内存受到影响。 除非可以获取本地login数据或获取本地root访问权限,否则这个问题是无关紧要的。