Lorsqu'une vulnérabilité affectant Linux Kernel a été détectée, que dois-je faire avec Docker?

Disons que j'ai une machine hôte Ubuntu exécutant Docker.

Cet hôte contient de nombreux conteneurs en cours d'exécution qui utilisent de nombreuses images de base ( FROM ), comme ubuntu, alpine, java: 8 …

Cet hôte contient également des images construites à la main.

Aujourd'hui, je peux arrêter et retirer tous mes conteneurs, puis les recréer tous. Aucune des images ne stocke de données (je ne commet pas de conteneurs). Par conséquent, perdre mes données n'est pas un problème. Redéfinir mes services ne devrait pas être un problème tant que les images restnt les mêmes.

Supposons qu'une vulnérabilité affecte le kernel Linux.

J'ai mis à jour mon OS hôte afin que l'hôte ne soit plus vulnérable. Les conteneurs Docker utilisent le kernel de l'hôte pour fonctionner, mais est-ce suffisant? Quelles sont les considérations et les actions que je devrais prendre pour s'assurer que mes conteneurs ne sont pas affectés par la vulnérabilité?

Étant donné que les conteneurs docker utilisent le kernel hôte. Une fois que le kernel de l'hôte est mis à jour, vous n'aurez aucun problème avec les conteneurs.

Les problèmes dans les bibliothèques sont une autre histoire. Openssl par exemple est une bibliothèque qui peut être différente dans les conteneurs et l'hôte et devrait être mise à jour.

C'est une bonne pratique d'inclure une apt-get update && apt-get -q -y upgrade en haut de votre Dockerfile. Donc, vous devriez build vos images régulièrement.

Si vous utilisez des images officielles, il est recommandé de faire régulièrement un tirage pour mettre vos conteneurs à niveau. Si vous utilisez docker-compose:

 docker-compose pull && docker-compose up -d 

Il va les améliorer. Pour docker ordinaire, vous devez faire une traction. Supprimez le conteneur et créez un nouveau pointant vers les mêmes volumes:

 docker pull image docker stop containerid && docker rm containerid docker run image .... 

Cordialement