CVE-2015-7547 riguarda glibc, che è presente in quasi tutti i contenitori di finestre mobili. C'è un processo automatico in corso che aggiornerà tutti i contenitori ufficiali, ma non è immediatamente chiaro come dovrei gestire la situazione.
Alcuni contenitori di terze parti sono mal gestiti e probabilmente non verranno ricostruiti in tempi brevi. Abbiamo container locali che hanno bisogno di lavoro per ottenere ricostruzioni fatte, spesso non più complicate rispetto al rebasing su un nuovo contenitore di base upstream. La velocità di questi contenitori upstream ricostruiti sarà piuttosto variabile. Se ricostruisco tutto localmente ora, sarò troppo presto per ottenere la correzione in alcuni casi. In generale, la promessa "tutto è solo un contenitore" di amministrazione di docker non è valida qui.
Quindi, quali strategie sono disponibili?
Una cosa che sarebbe davvero utile sarebbe quella di riuscire a docker exec
qualcosa in ogni contenitore per verificare se è vulnerabile. Qualcosa che verifica direttamente la vulnerabilità sarebbe l'ideale, ma non sarebbe utile qualche strumento che conosca abbastanza i sistemi di packaging di tutti i tipi di diverse distribuzioni Linux. È disponibile uno strumento di questo tipo che verrà eseguito nella vasta gamma di container (spesso minuscoli) della finestra mobile?
Qualche altra idea?