Docker.io コンテナに脆弱な OpenSSL サーバーがあるとします。Docker はホストからのメモリの読み取りを防止しますか?
私の仮定は、そうです。バグはカーネルではなく OpenSSL にあるため、Docker はコンテナーでルート アクセスを分離する必要があります。しかし、ウィキペディアは「部分的なルート権限の分離」としか言っておらず、バックエンドに依存していることを示唆しています。したがって、libcontainer または lxc などを使用して回答するかどうかを指定してください。
脆弱なサーバーがコンテナーで実行されている場合、そのコンテナーのメモリのみがリークされます。
実際、コンテナがなくても、そのサーバーのプロセス メモリだけがリークされます。たとえば、脆弱な Apache+OpenSSL サーバーと SSH サーバーを同じマシンで実行している場合、攻撃者は Apache サーバーからメモリ フラグメントを取得できますが、SSH サーバーからは何にもアクセスできません。(もちろん、この Apache サーバーが SSH 秘密鍵などを配布するために使用されない限り...)
この関連する質問は、脆弱なアプリケーションのメモリのみが影響を受けることを示唆しています。また、ローカル ログイン データをフェッチするか、ローカル ルート アクセスを取得できない限り、この質問はほとんど意味がありません。