Depende de la versión específica de la ventana acoplable y de los contenedores que esté ejecutando. Y cómo estás usando tus contenedores.
Si bien el sueño es que un contenedor esté aislado del host, ha habido ocasiones en las que se descubrió un error o una vulnerabilidad que permitió que un contenedor obtuviera acceso de root al sistema host o, más comúnmente, poder dañar el anfitrión. Maneras fáciles de dañar el host:
- Obtener un contenedor para provocar un pánico en el núcleo del host.
- Denegación de servicio (hay varios recursos que un contenedor puede acosar para matar de hambre a los otros sistemas del host).
- Un desarrollador, quizás tontamente, montando un volumen como lectura / escritura y el contenedor peligroso dañando u ocultando algo.
Las funciones de sus contenedores también agregan vulnerabilidades de seguridad adicionales:
- Diga si un contenedor docker de proxy pequeño es una imagen envenenada. De repente, podría tener un interloper que rastree todas las solicitudes en la red y determine su topología.
- O tal vez sus contenedores se hablan entre sí en una red privada cifrada y sin autenticación. Una imagen envenenada como una capa para uno de sus contenedores personalizados es la clave para comprometer todo el sistema.
- O quizás el contenedor de la ventana acoplable es la imagen del colorete. Ahora que acaba de alimentar sus llaves a un contenedor falso.