strategia per affrontare i problemi di glibc attraverso tutti i container di docker

5

CVE-2015-7547 riguarda glibc, che è presente in quasi tutti i contenitori di finestre mobili. C'è un processo automatico in corso che aggiornerà tutti i contenitori ufficiali, ma non è immediatamente chiaro come dovrei gestire la situazione.

Alcuni contenitori di terze parti sono mal gestiti e probabilmente non verranno ricostruiti in tempi brevi. Abbiamo container locali che hanno bisogno di lavoro per ottenere ricostruzioni fatte, spesso non più complicate rispetto al rebasing su un nuovo contenitore di base upstream. La velocità di questi contenitori upstream ricostruiti sarà piuttosto variabile. Se ricostruisco tutto localmente ora, sarò troppo presto per ottenere la correzione in alcuni casi. In generale, la promessa "tutto è solo un contenitore" di amministrazione di docker non è valida qui.

Quindi, quali strategie sono disponibili?

Una cosa che sarebbe davvero utile sarebbe quella di riuscire a docker exec qualcosa in ogni contenitore per verificare se è vulnerabile. Qualcosa che verifica direttamente la vulnerabilità sarebbe l'ideale, ma non sarebbe utile qualche strumento che conosca abbastanza i sistemi di packaging di tutti i tipi di diverse distribuzioni Linux. È disponibile uno strumento di questo tipo che verrà eseguito nella vasta gamma di container (spesso minuscoli) della finestra mobile?

Qualche altra idea?

    
posta mc0e 20.02.2016 - 14:13
fonte

1 risposta

4

Questa è una sfortunata conseguenza di affidarsi a software creato / gestito da altri, su cui non hai controllo.

Con Docker almeno hai l'opportunità di replicare semplicemente il Dockerfile e quindi di basarlo su un'immagine fissa.

La mia raccomandazione sarebbe che tu faccia esattamente questo. Le immagini del SO di base ora dovrebbero essere corrette, se ne stai usando una che non è stata ricostruita, forchetta semplicemente ed esegui la tua immagine Docker basata sul sistema operativo di tua scelta.

    
risposta data 27.02.2016 - 22:48
fonte

Leggi altre domande sui tag