BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Docker 1.3.2发布:修复重大安全问题

| 作者 孙镜涛 关注 2 他的粉丝 发布于 2014年11月28日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

Docker无疑是当下最火的应用程序容器引擎,它彻底释放了虚拟化的威力,让应用的分发、部署和管理都变得非常地高效和容易。继10月份发布1.3.0之后时隔一个多月,其开发团队再次发布了Docker 1.3.2。新版本最吸引人的地方就是它修复了 CVE-2014-6407 CVE-2014-6408 这两个重要的安全问题,另外新版本还解决了一些Bug。

在之前的版本中,攻击者能够通过Docker容器的漏洞提高权限,在受影响的系统上远程执行代码,Docker 1.3.2解决了这一问题,新版本在提取镜像的时候会对其进行额外的检查,同时所有的提取工作都会在一个对本地文件系统拥有有限访问权限的“chroot”沙箱环境中进行。但是需要注意的是:该问题并没有针对老版本Docker的补丁,如果想要解决这一问题,那么必须进行升级。另外,新版本也修复了攻击者可以在容器升级时将恶意安全选项应用到镜像的Bug,在1.3.2中应用到镜像的安全选项会被忽略。

守护进程方面,新版本改善并增强了docker run命令的--insecure-registry标记。主要的修复内容如下,如果想要获取更多的信息,可以点击这里

  • 用户现在可以通过设定一个子网为Docker指定不安全的Registry范围
  • 在默认情况下,新版本将“localhost”定义为不安全的Registry
  • 用户可以使用无类别域间路由(Classless Inter-Domain Routing,CIDR)格式引用Registry
  • 镜像被启用的时候会跳过试验性的Registry v2 API

感谢郭蕾对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT