CVE-2016-0728 potrebbe influire su Docker?

Questa non è un'escalation di privilegi in cui il codice viene "solo" eseguito come utente con privilegi più elevati. Questo problema riguarda l'esecuzione del codice all'interno del kernel Linux, ad esempio il kernel che viene condiviso tra tutte le istanze di docker e il sistema operativo che contiene le istanze di docker. Questo è il privilegio più alto che si possa ottenere e a questo livello si può aggirare qualsiasi tipo di restrizioni. Ciò significa che un utente non privilegiato in grado di eseguire questo attacco può uscire dal contenitore.

Prima di tutto, sì; se il tuo kernel supporta i portachiavi, la finestra mobile non ne impedisce l'uso, il che significa che non impediscono lo sfruttamento.

Ma vale la pena notare che i container docker sono contenitori di sicurezza non . Mentre possono e di solito offrono un certo livello di sicurezza, questo non è il loro scopo, e sono state prese decisioni di progettazione che non sono compatibili con la virtualizzazione del codice ostile. L'isolamento deve avvenire a un livello superiore a quello.

A partire da Docker 1.10 la risposta è che questo non funzionerebbe con l'installazione predefinita, poiché la chiamata di sistema keyctl è bloccata dal filtro seccomp predefinito.