码头滚装容积的安全性
码头滚装容积的安全性
提问于 2022-02-03 22:32:23
将主机文件夹映射到Docker容器ro的安全含义是什么?例如,-v /usr/local/bin:/usr/local/bin:ro。
当然,容器现在可以读取主机文件夹了。但是,假设映射是公开的数据,ro映射会增加攻击面吗?在我看来,任何可以用这种映射完成的容器转义都可以不使用它来完成。在任何情况下,滚子映射可以使逃逸成为可能吗?
回答 1
Security用户
回答已采纳
发布于 2022-03-19 20:40:21
在一般情况下,ro映射不应该增加爆发的可能性,但我可以想到两个例外
- Unix套接字(例如Docker套接字)在挂载只读时仍可访问.安装对接套接字允许简单的容器突破,其他套接字将取决于它们能做什么。
- 2022年初的脏管脆弱性允许覆盖容器中挂载的只读文件,因此通过这种方式在易受攻击的主机上挂载文件将允许从容器内部覆盖文件。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/259318
复制相关文章
相似问题
腾讯云开发者
