Red Hat: Husk også at opdatere dine containere for kritisk Linux-sårbarhed

Når der lukkes et sikkerhedshul som det seneste i glibc, så bør man også sikre sig, at ingen af éns containere kører videre med det sårbare bibliotek.

Containere er én af de hotteste teknologier lige nu, fordi de skærer endnu mere ned på dét, der skal til for at køre en applikation på et delt miljø, end traditionel virtualisering med en hypervisor. Men containerne kan også give en ekstra sikkerhedsudfordring.

Red Hat, som sammen med Google afslørede en alvorlig sårbarhed i biblioteket glibc til Linux i sidste uge, påpeger i et blogindlæg, at man bør sikre sig, at sådan en kritisk sårbarhed ikke lever videre inde i en container.

Læs også: Alvorligt DNS-hul i det udbredte open source-bibliotek glibc

Red Hat sælger selv et værktøj til at scanne og opdatere containere, så selskabet er også ude i en salgstale for sit eget produkt, men problemet kan være reelt nok.

I almindelig virtualisering har man typisk en hel udgave af styresystemet kørende på den virtuelle maskine. Dermed kan man bruge de almindelige Linux-værktøjer til håndtering af sikkerhedsopdateringer.

Når man arbejder med containere, så deler containerne et fælles styresystem. Det skal selvfølgelig opdateres som sædvanlig. Men hver container indeholder også biblioteker, som den enkelte applikation er afhængig af, og dermed kan containeren altså indeholde en sårbar udgave af et bibliotek.

Mens styresystemer og applikationer opdateres af én leverandør, så kan det være mere kompliceret med containere, der indeholder komponenter fra flere parter og kan distribueres gennem interne eller offentlige repositories.

Følg forløbet

Kommentarer (0)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen