假设,我在Docker.io容器中有一个易受攻击的OpenSSL服务器。 Docker是否阻止从主机读取内存?
我的假设是,确实如此。因为该错误位于OpenSSL中,而不在内核中,因此Docker应该隔离容器中的根访问权限。但是Wikipedia只说“部分Root特权隔离”,并建议其依赖于后端。因此,请指定您是使用libcontainer还是lxc或其他方式回答。
最佳答案
如果易受攻击的服务器在容器中运行,则只会泄漏该容器的内存。
实际上,即使没有容器,也只会泄漏该服务器的进程内存。例如,如果您有易受攻击的Apache + OpenSSL服务器和SSH服务器在同一台计算机上运行,则攻击者可以从Apache服务器获取内存碎片,但永远无法从SSH服务器访问任何内容。 (当然,除非此Apache服务器用于分发SSH私钥或类似的东西...)
关于docker - Docker是否包含Heardbleed漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23041744/