关于Linux漏洞的那个实例中,我们提到了Docker,这是一种目前十分流行的虚拟化技术。Docker让开发者可以把他们的应用以及依赖打包到一个可移植的容器中,然后发布到任何流行的Linux机器上,便可以实现虚拟化。Docker改变了虚拟化的方式,使开发者可以直接将自己的成果放入Docker进行管理。方便快捷已经是Docker的最大优势,过去需要用数天乃至数周才能完成的任务,在Docker容器的处理下,只需要数秒就能完成。但是目前Docker技术也并非是绝对安全的,我们将在本节分析Docker的安全问题。

认识集装箱生态系统的脆弱性，对研究网络安全具有重要意义。现在，我们将转向Docker图像，以查看Docker官方软件库中存在的缺陷。

官方数据仓库主要包含开源和商业软件的图片，通常由作者或供应商管理，其中包含了Doc社区中使用最广泛的图片。在这20幅最流行的图片中，有超过一千万的下载。现在，越来越多的第三代配置管理软件已经使用这些图像来代替一些分布式系统管理的功能。

只有极少数的技术如docha一出来就受到关注，并在短期内迅速发展起来，而且几乎所有的技术公司都已经开始使用或希望使用它。配置管理、微服务、数据中心自动化、devops随着docything的出现而带来了新的机会，就好像IT行业的整个体系结构被重新定义一样。

尽管安全问题受到了官方的重视，但由于该项目关注于开放源码社区服务，因此不可避免地会出现安全漏洞。2月6号，我们扫描分析了正式的Doc库。迄今为止，该网站的官方知识库共有133个知识库，其中91个已经扫描并分析。

最新的Docker映像扫描分析显示，最新有24%的Docker映像存在高风险和中风险漏洞，而10.53%是这样的。

Ubuntu镜像比Debian镜像有更多的漏洞。Debian是最不易受攻击的图像，其高风险和中风险漏洞最少，仅为8%，而Ubuntu的高风险和中风险漏洞仅为0.1%。以RHEL为基础的脆弱性分布样本非常少(仅为4%)。

Linux操作系统的版本大致上可分为两类，一类是由商业公司维护的版本，另一类是由社区组织维护的版本。前一种代表是著名的红帽(RHEL)，后一种代表是德比安。Debian目前被广泛使用，最少使用RHEL。Debian是Docker官方仓库的主力，占据了79%以上的最新图片标注，Ubuntu占了16%,RHEL占了4%。

文档用户和维护者倾向于更新图像，但忽略较老的图像；创建容器的数量和速度使得更新时忽略较老的图像。据CVSS安全漏洞评分系统显示，Debian和Ubuntu的旧漏洞更多。

Debian8.6和Ubuntu14.04中较高风险和中风险漏洞的数量(Debian8.7和Ubuntu16.04)要多得多。

如图所示，新版本很少安装和更新软件包。尽管这并不能直接说明漏洞的数量，但它意味着还有很多漏洞正在被使用。

最为常见的漏洞是“SSL死亡警报”(即，“OpenSSL红色警报”漏洞)，它是一个DoS特性漏洞，它影响了为GnuTLS、OpenSSL和NSS编译的软件，包括nginx提供的HTTPS服务在内的所有DoS功能漏洞。该漏洞可以很容易地将大量未定义的警告包打包到一条消息中，使服务或进程陷入无意义的循环，从而占用了服务或进程100%的CPU利用率。

最常见的镜像漏洞有哪些？

Debian:86%的Debian图片中都有OpenSSL本地信息泄漏漏洞(CVE-2016-7056)。crypto/ecdsa/ecdsa_ossl.c的签名函数在OpenSSL的某些版本中存在定时攻击漏洞。有本地访问权的攻击者可以使用这个漏洞来恢复ECDSAP-256密钥。所以，尽管存在严重的漏洞，却不大可能影响到大多数人。

如前所述，CVE-2016-8610在Ubuntu的93%图片上都有Ubuntu。

RHEL:Vim任意代码(CVE-2016-1248)在50%的RHEL图像中执行。