estrategia para lidiar con problemas de glibc a través de todos los contenedores docker

5

CVE-2015-7547 afecta a glibc, que está presente en casi todos los contenedores docker. Hay un proceso automatizado en curso que actualizará todos los contenedores oficiales, pero no está claro de inmediato cómo debo hacerlo. gestionar la situación.

Algunos contenedores de terceros tienen un mantenimiento deficiente y es probable que no se reconstruyan pronto. Tenemos contenedores locales que necesitan trabajo para reconstruirse, a menudo no más complicados que rebasarlos en un contenedor base ascendente más nuevo. La velocidad de los contenedores de aguas arriba que se reconstruyen será bastante variable. Si reconstruyo todo localmente ahora, seré demasiado pronto para obtener la solución en algunos casos. En general, la promesa de "todo es solo un contenedor" de la administración de la ventana acoplable no se cumple aquí.

Entonces, ¿qué estrategias están disponibles?

Una cosa que sería realmente útil sería poder docker exec algo en cada contenedor para verificar si es vulnerable. Algo que pruebe directamente la vulnerabilidad sería ideal, pero si falla alguna herramienta que sepa lo suficiente sobre los sistemas de empaquetado de todo tipo de diferentes distribuciones de Linux, también sería útil. ¿Está disponible una herramienta de este tipo que se ejecutará en el rango diverso de contenedores (a menudo mínimos) de la ventana acoplable?

¿Alguna otra idea?

    
pregunta mc0e 20.02.2016 - 14:13
fuente

1 respuesta

3

Esta es una consecuencia desafortunada de confiar en un software creado / mantenido por otros, sobre el que no tienes control.

Con Docker, al menos tienes la oportunidad de replicar el Dockerfile y luego basarlo en una imagen base fija.

Mi recomendación sería que hagas exactamente eso. Las imágenes del sistema operativo base ya deberían estar arregladas, si está usando una que no está reconstruida, simplemente bifurque y ejecute su propia imagen Docker basada en el sistema operativo base que elija.

    
respondido por el Rоry McCune 27.02.2016 - 22:48
fuente

Lea otras preguntas en las etiquetas