码头集装箱如何受到CVE-2021-3156的影响？

Question

docker (web服务/服务器)S运行无人值守的更新吗？否则，怎么做呢？我很担心最近的sudo -s CVE。如何影响码头集装箱？如果我使用远程日志设置了一个审计系统，并且对docker应用程序进行了无人值守/安全更新，这是否足够安全？

Answer 1

默认情况下，许多Linux映像上没有安装sudo。如果是的话，那么您需要登录到容器并对其进行更新，或者从web中提取一个更新的版本。我不知道远程黑客通常有什么样的选项来获得命令行并执行sudo命令，但是如果这个选项普遍存在，那么Docker容器可能是不安全的，而且已经存在很长时间了。然而，在用户拥有sudo或非sudo访问权的情况下，企业(或大学)网络似乎主要受到影响。因此，用户可以访问终端。

Answer 2

这种CVE (CVE-2021-3156)不太可能在容器映像中出现任何实际风险。原因是Docker容器是单一用户的，因此能够升级不太可能允许攻击者进行更多的额外访问。

大多数Docker映像已经作为root运行，所以sudo将没有任何影响。如果Docker映像以非根用户的身份运行，并且映像中有sudo (不太可能)，则可能允许某些有限级别的额外访问，但攻击者仍将在容器中受到限制，而不会有额外的漏洞或错误配置。

如果在Docker主机上存在CVE，则CVE可能更重要，因为对sudo的访问可能会使您访问Docker套接字并允许访问系统上运行的任何容器。