CVE-2015-7547 afecta a glibc, que está presente en casi todos los contenedores docker. Hay un proceso automatizado en curso que actualizará todos los contenedores oficiales, pero no está claro de inmediato cómo debo hacerlo. gestionar la situación.
Algunos contenedores de terceros tienen un mantenimiento deficiente y es probable que no se reconstruyan pronto. Tenemos contenedores locales que necesitan trabajo para reconstruirse, a menudo no más complicados que rebasarlos en un contenedor base ascendente más nuevo. La velocidad de los contenedores de aguas arriba que se reconstruyen será bastante variable. Si reconstruyo todo localmente ahora, seré demasiado pronto para obtener la solución en algunos casos. En general, la promesa de "todo es solo un contenedor" de la administración de la ventana acoplable no se cumple aquí.
Entonces, ¿qué estrategias están disponibles?
Una cosa que sería realmente útil sería poder docker exec algo en cada contenedor para verificar si es vulnerable. Algo que pruebe directamente la vulnerabilidad sería ideal, pero si falla alguna herramienta que sepa lo suficiente sobre los sistemas de empaquetado de todo tipo de diferentes distribuciones de Linux, también sería útil. ¿Está disponible una herramienta de este tipo que se ejecutará en el rango diverso de contenedores (a menudo mínimos) de la ventana acoplable?
¿Alguna otra idea?