@@ -1,6 +1,6 @@
\chapter { Υπόβαθρο} \label { background}
\hyphenation { πολλές}
\hyphenation { πολλές μελών/οργανισμών }
\noindent Προκειμένου ν α
εργασία πρέπει ν α
@@ -215,19 +215,19 @@ SDKs (Software Development Kits)).
\item \textbf { Δημόσιο νέφος (Public Cloud)} :
Εδώ, το νέφος υποδομής είναι διαθέσιμο γ ι α ν α
ανήκει και ν α
κυβερνητικό οργανισμό ή έναν συνδυασμό των παραπάνω. Λειτουργεί εντός
των υποδομών του παρόχου νέφους. Τ ο ο ι
εικονικές μηχανές που εκτελούνται σε διακομιστές του παρόχου νέφους,
των οποίων ο ι
καταναλωτές ταυτόχρονα. Αποτελεί το πιο δημοφιλές μοντέλο που παρέχουν
εταιρίες υπηρεσιών IaaS λόγω της απουσίας απαίτησης μεγάλου αρχικού
κόστους και της ευελιξίας που παρέχεται μέσω της αυτοεξυπηρέτησης κατά
παραγγελία. Είναι η κατάλληλη επιλογή γ ι α
μικρής διάρκειας λόγω του μοντέλου χρέωσης ανά χρήση και διευκολύνει
μια επιχείρηση στην μετέπειτα διαχείριση του κόστους με βάση τις
προβλέψεις της ζήτησης της υπηρεσίας που αυτή προσφέρει.
Εδώ, το νέφος υποδομής είναι διαθέσιμο γ ι α ν α
ανήκει και ν α
κυβερνητικό οργανισμό ή έναν συνδυασμό των παραπάνω. Λειτουργεί εντός
των υποδομών του παρόχου νέφους. Τ ο ο ι
εικονικές μηχανές που εκτελούνται σε διακομιστές του παρόχου νέφους,
των οποίων ο ι
καταναλωτές ταυτόχρονα. Αποτελεί το πιο δημοφιλές μοντέλο που παρέχουν
εταιρε ίες υπηρεσιών IaaS λόγω της απουσίας απαίτησης μεγάλου αρχικού
κόστους και της ευελιξίας που παρέχεται μέσω της αυτοεξυπηρέτησης κατά
παραγγελία. Είναι η κατάλληλη επιλογή γ ι α
μικρής διάρκειας λόγω του μοντέλου χρέωσης ανά χρήση και διευκολύνει
μια επιχείρηση στην μετέπειτα διαχείριση του κόστους με βάση τις
προβλέψεις της ζήτησης της υπηρεσίας που αυτή προσφέρει.
\item \textbf { Υβριδικό νέφος (Hybrid Cloud)} :
@@ -249,13 +249,13 @@ SDKs (Software Development Kits)).
\footfullcite { redhatVirtualizationDefinition} , η εικονικοποίηση είναι μια
τεχνολογία που μας επιτρέπει ν α
αποκλειστικούς πόρους από ένα μόνο, φυσικό σύστημα υλικού. Ένα λογισμικό
ονόματι υπερ-επόπτης (hypervisor) συνδέεται στο υλικό αυτό\footnote { Απευθείας
στην εικονικοποίηση υποβοηθούμενη από το υλικό και έμμεσα στην
εικονικοποίηση υποβοηθούμενη από το λογισμικό.} και δίνει τη δυνατότητα
διαμερισμού ενός συστήματος σε ξεχωριστά, διακριτά και ασφαλή περιβάλλοντα,
γνωστά και ως εικονικές μηχανές (Virtual Machines - VMs). Επομένως, αυτές ο ι
εικονικές μηχανές βασίζονται στην ικανότητα του υπερ-επόπτη ν α
πόρους της μηχανής και ν α
ονόματι υπερ-επόπτης (hypervisor) συνδέεται στο υλικό
αυτό\footnote { \textgreek { Απευθείας στην εικονικοποίηση υποβοηθούμενη από το
υλικό και έμμεσα στην εικονικοποίηση υποβοηθούμενη από το λογισμικό.} }
δίνει τη δυνατότητα διαμερισμού ενός συστήματος σε ξεχωριστά, διακριτά και
ασφαλή περιβάλλοντα, γνωστά και ως εικονικές μηχανές (Virtual Machines - VMs).
Επομένως, αυτές ο ι εικονικές μηχανές βασίζονται στην ικανότητα του υπερ-επόπτη
ν α ν α
Τ ο
μηχάνημα φιλοξενίας, ενώ ο ι
@@ -300,7 +300,7 @@ SDKs (Software Development Kits)).
Παραδοσιακά, αυτή η αρχιτεκτονική όπου εκτελούνται μεμονωμένες εργασίες σε
μεμονωμένους διακομιστές ήταν ευκολότερη και πιο αξιόπιστη αλλά δεν παύει ν α
είναι η λιγότερο αποδοτική λύση. Με την άφιξη της τεχνολογίας της
είναι και η λιγότερο αποδοτική λύση. Με την άφιξη της τεχνολογίας της
εικονικοποίησης όμως, είναι πλέον εφικτό ν α
περισσότερα μέρη, έχοντας δύο ή παραπάνω εικονικά μηχανήματα με τη χρήση ενός
φυσικού.
@@ -378,12 +378,12 @@ off). Τ ο
Σήμερα είναι τόσο διαδεδομένη σε όλες τις επιχειρήσεις που συχνά απαιτείται
εξειδικευμένο λογισμικό διαχείρισης των εικονικών πόρων
\footfullcite { redhatVirtualizationManagement} γ ι α ν α ν α
παρακολουθεί τα δρώμενα τη ς επιχείρησης. Πρόκειται γ ι α
παρακολουθεί τα δρώμενα μια ς επιχείρησης. Πρόκειται γ ι α
διασυνδέεται με εικονικά περιβάλλοντα και το υποκείμενο φυσικό υλικό τους με
απώτερο σκοπό την απλοποίηση της διαχείρισης πόρων, τη βελτίωση της ανάλυσης
δεδομένων και τον εξορθολογισμό των λειτουργιών. Ουσιαστικά ένα λογισμικό που
συνδέεται απομακρυσμένα με υπερ-επόπτες, προσφέροντας φιλική προς τον χρήση
διεπαφή και επιπρόσθετες λειτουργίες όπως η συγκρότηση αναφορών χρήσης, η
δεδομένων και τον εξορθολογισμό των λειτουργιών τους . Ουσιαστικά ένα λογισμικό
που συνδέεται απομακρυσμένα με υπερ-επόπτες, προσφέροντας μια φιλική προς τον
χρήση διεπαφή και επιπρόσθετες λειτουργίες όπως η συγκρότηση αναφορών χρήσης, η
αυτοματοποίηση επιβολής κανόνων και η παρακολούθηση χρήσης εικονικών
περιβαλλόντων.
@@ -787,26 +787,26 @@ Machine), που επιτρέπει στο Linux ν α
\end { itemize}
Η
εικονικοποίησης πόρων \footfullcite { hostitsmartMemoryVirtualization} .
Συγκεκριμένα, είναι μια τεχνική κατά την οποία δύναται ν α
διαχειριστούμε με έναν πιο αποδοτικό τρόπο την φυσική μνήμη (RAM) που
χρησιμοποιείται στα υπολογιστικά μας συστήματα. Αυτό συμβαίνει διότι
στην βασικότερη μορφή της, η εικονικοποίηση μνήμης εμφανίζεται ως
εικονική μνήμη ή όπως η μνήμη swap σε διακομιστές και σταθμούς εργασίας
\footfullcite { petriMemoryVirtualization} . Δηλαδή, ως επιπρόσθετη μνήμη
την οποία το σύστημα εκλαμβάνει ως πραγματική και μπορεί ν α
χρησιμοποιήσει προτού αναγκαστεί ν α γ ι α ν α
απελευθερώσει κομμάτι της μνήμης. Για ν α μέσω του
υπερ-επόπτη πραγματοποιείται αντιστοίχιση σελίδων φυσικής μνήμης του
φιλοξενούμενου λειτουργικού συστήματος στις σελίδες φυσικής μνήμης της
υποκείμενης μηχανής. Καθ' αυτόν τον τρόπο, κάθε εικονική μηχανή βλέπει
έναν συνεχόμενο χώρο διευθύνσεων μνήμης που δύναται ν α χρησιμοποιήσει
\footfullcite { vmwareMemoryVirtualization} . Ως αποτέλεσμα, επιτυγχάνεται
εν γένει υψηλότερη αξιοποίηση της μνήμης και η δυνατότητα διαμοιρασμού
μιας κοινής δεξαμενής μνήμης ακόμα και σε κατανεμημένα συστήματα,
παρακάμπτοντας τους περιορισμούς της φυσικής μνήμης
\footfullcite { codingninjasMemoryVirtualization} .
Η
εικονικοποίησης πόρων \footfullcite { hostitsmartMemoryVirtualization} .
Συγκεκριμένα, είναι μια τεχνική κατά την οποία δύναται ν α
διαχειριστούμε με έναν πιο αποδοτικό τρόπο την φυσική μνήμη (RAM) που
χρησιμοποιείται στα υπολογιστικά μας συστήματα. Αυτό συμβαίνει διότι
στην βασικότερη μορφή της, η εικονικοποίηση μνήμης εμφανίζεται ως
εικονική μνήμη ή όπως η μνήμη swap σε διακομιστές και σταθμούς εργασίας
\footfullcite { petriMemoryVirtualization} . Δηλαδή, ως επιπρόσθετη μνήμη
την οποία το σύστημα εκλαμβάνει ως πραγματική και μπορεί ν α
χρησιμοποιήσει προτού αναγκαστεί ν α γ ι α ν α
απελευθερώσει κομμάτι της δικής του μνήμης. Για ν α
μέσω του υπερ-επόπτη πραγματοποιείται αντιστοίχιση σελίδων φυσικής
μνήμης του φιλοξενούμενου λειτουργικού συστήματος στις σελίδες φυσικής
μνήμης της υποκείμενης μηχανής. Καθ' αυτόν τον τρόπο, κάθε εικονική
μηχανή βλέπει έναν συνεχόμενο χώρο διευθύνσεων μνήμης που δύναται ν α
χρησιμοποιήσει \footfullcite { vmwareMemoryVirtualization} . Ως
αποτέλεσμα, επιτυγχάνεται εν γένει υψηλότερη αξιοποίηση της μνήμης και
η δυνατότητα διαμοιρασμού μιας κοινής δεξαμενής μνήμης ακόμα και σε
κατανεμημένα συστήματα, παρακάμπτοντας τους περιορισμούς της φυσικής
μνήμης \footfullcite { codingninjasMemoryVirtualization} .
\clearpage
@@ -1159,7 +1159,7 @@ API, ώστε ν α ν α
\cite { arif2015virtualization} αναφέρεται στην εικονικοποίηση χώρου αποθήκευσης
μέσω δικτύου αλλά πολλές από τις απειλές δεν περιορίζονται μονάχα εκεί.
Πολλές από τις απειλές που θα αναφερθούν παρακάτω
Πολλές από τις απειλές που θα αναφερθούν παρακάτω στο
\ref { virtualizationThreatsCategorization} , μπορούν ν α
εξής:
@@ -1215,7 +1215,7 @@ API, ώστε ν α ν α
Διαχειριστή $ \Rightarrow $ Εικονική Μηχανή &
Απειλές που προέρχονται από τον διαχειριστή εικονικών μηχανών και στοχεύουν τις
Απειλές που προέρχονται από τον διαχειριστή εικονικών μηχανών και στοχεύουν
εικονικές μηχανές. \\
\hline
@@ -1267,7 +1267,7 @@ penetration)\cite{arif2015virtualization}.
προστατεύσει τα δεδομένα της, έτσι και ο ν α
επιχείρηση ότι δε θα προσπαθήσει ν α
μπορεί ν α
μηχανές του παρόχου είτε από την επιχείρηση την ίδια, είτε μέσω ενός
μηχανές του παρόχου είτε από την επιχείρηση την ίδια, είτε από έναν
επιτιθέμενου που παραβίασε τις εικονικές μηχανές της.
Ουσιαστικά κάθε εικονική μηχανή που έχει πρόσβαση στο διαδίκτυο είναι ευάλωτη
@@ -1278,9 +1278,9 @@ penetration)\cite{arif2015virtualization}.
απαιτείται ν α
εικονικών μηχανών.
Με βάση την ανάλυση που έγινε στο \cite { virtualizationSecurity} , σ τις απειλές
από εικονική μηχανή σε εικονική μηχανή, ο ι επίθεση
πλευρικού καναλιού (cross VM side channel attack), ο ι
Με βάση την ανάλυση που έγινε στο \cite { virtualizationSecurity} , σ χετικά με
απειλές από εικονική μηχανή σε εικονική μηχανή, ο ι
επίθεση πλευρικού καναλιού (cross VM side channel attack), ο ι
χρονοπρογραμματιστή (Scheduler based attacks) και ο ι
τρωτότητες της διαδικασίας μετανάστευσης και επαναφοράς εικονικών μηχανών (VM
migration and rollback attacks). Από την άλλη, όσον αφορά τις απειλές από
@@ -1424,7 +1424,7 @@ migration and rollback attacks). Από την άλλη, όσον αφορά τ
προκειμένου ν α
διαθεσιμότητα των δεδομένων της. Αυτά τα τρία στοιχεία αποτελούν την τριάδα της
ασφάλειας \footfullcite { ciaTriad} και η απώλεια οποιουδήποτε από αυτά μπορεί ν α
έχει σοβαρές επιπτώσεις σ Η
έχει σοβαρές επιπτώσεις γ ι α Η
γενικές ορθές πρακτικές διατήρησης τους περιγράφονται ως εξής:
\begin { itemize}
@@ -1511,12 +1511,12 @@ migration and rollback attacks). Από την άλλη, όσον αφορά τ
\item \textbf { Έλεγχος των μηχανημάτων που έχουν πρόσβαση στον υπερ-επόπτη} :
Ο ι ν α
στον υπερ-επόπτη και ν α ν α
εξουσιοδο μένη λίστα . Ο ν α
αναδείξει προσπάθειες μη εξουσιοδοτημένης πρόσβασης ώστε ν α
κατάλληλα μέτρα περιορισμού των ατόμων που επιχειρούν ν α
αυτόν.
Ο ι ν α
στον υπερ-επόπτη και ν α ν α
λίστα εξουσιοδό τησης . Ο ν α
αναδείξει προσπάθειες μη εξουσιοδοτημένης πρόσβασης ώστε ν α
κατάλληλα μέτρα περιορισμού των ατόμων που επιχειρούν ν α
αυτόν.
\item \textbf { Περιορισμός δικτυακής πρόσβασης στο διαχειριστικό πάνελ του υπερ-επόπτη} :
@@ -1622,8 +1622,8 @@ migration and rollback attacks). Από την άλλη, όσον αφορά τ
Τ α
που περιέχει τον κώδικα, τις βιβλιοθήκες και τις εξαρτήσεις που χρειάζεται γ ι α
ν α Ο ι
ότι δεν έχουν ανάγκη ένα αντίγραφο του λειτουργικού συστήματος αλλά αντ' αυτού
μια μηχανή εκτέλεσης δοχείων (container execution engine) στο μηχάνημα
ότι δεν έχουν ανάγκη γ ι α ένα αντίγραφο του λειτουργικού συστήματος αλλά αντ'
αυτού μιας μηχανής εκτέλεσης δοχείων (container execution engine) στο μηχάνημα
(φιλοξενίας) που λειτουργεί ως διαμεσολαβητής των δοχείων γ ι α ν α
ίδιο λειτουργικό σύστημα και κατά προέκταση τους υποκείμενους πόρους του μεταξύ
τους. Κοινές βιβλιοθήκες ή εκτελέσιμα αρχεία μιας στρώσης εικόνας δοχείων
@@ -1680,15 +1680,15 @@ migration and rollback attacks). Από την άλλη, όσον αφορά τ
\item \textbf { Απομόνωση σφαλμάτων} :
Εφόσον κάθε δοχείο είναι απομονωμένο και λειτουργεί ανεξάρτητα από τα
υπόλοιπα, η αποτυχία ενός δοχείου στο ίδιο ΛΣ δε θα επηρεάσει τη συνεχή
λειτουργία των υπόλοιπων δοχείων. Με αυτόν τον τρόπο, ο ι
ανάπτυξης λογισμικού μπορούν ν α ν α
τεχνικά προβλήματα χωρίς ν α
Επιπρόσθετα, ο
σε ένα μόνο δοχείο και όχι σε περισσότερα. Αυτό οδηγεί σε πιο γρήγορη
αποσφαλμάτωση και εν τέλει την πιο γρήγορη ανάπτυξη και δια τήρηση
προγραμμάτων.
Εφόσον κάθε δοχείο είναι απομονωμένο και λειτουργεί ανεξάρτητα από τα
υπόλοιπα, η αποτυχία ενός δοχείου στο ίδιο ΛΣ δε θα επηρεάσει τη συνεχή
λειτουργία των υπόλοιπων δοχείων. Με αυτόν τον τρόπο, ο ι
ανάπτυξης λογισμικού μπορούν ν α ν α
τεχνικά προβλήματα χωρίς ν α
Επιπρόσθετα, ο
σε ένα μόνο δοχείο και όχι σε περισσότερα. Αυτό οδηγεί σε πιο γρήγορη
αποσφαλμάτωση και εν τέλει την πιο γρήγορη ανάπτυξη και σ υ ν
προγραμμάτων.
\item \textbf { Αποδοτικότητα} :
@@ -1712,16 +1712,16 @@ migration and rollback attacks). Από την άλλη, όσον αφορά τ
\item \textbf { Ασφάλεια} :
Η
ορθές πρακτικές, εγγενώς αποτρέπει την εισβολή κακόβουλου λογισμικού
από το ν α
εκτελούνται. Συγκεκριμένα, χρησιμοποιώντας Kernel Security Modules όπως
AppArmor ή SELinux μπορούν ν α σκοπό τον
περιορισμό του εύρους πρόσβασης του Docker στο σύστημα, ενώ με access
authorization plugins \footfullcite { accessA uthorizationP lugin} ,
περιορίζεται η πρόσβαση στον δαίμονα του Docker. Επιπροσθέτως, πολύ
εύκολα μπορεί ν α
και με το δίκτυο του συστήματος.
Η
ορθές πρακτικές, εγγενώς αποτρέπει την εισβολή κακόβουλου λογισμικού
από το ν α
εκτελούνται. Συγκεκριμένα, χρησιμοποιώντας Kernel Security Modules όπως
είναι το AppArmor ή το SELinux μπορούν ν α
σκοπό τον περιορισμό του εύρους πρόσβασης του Docker στο σύστημα, ενώ
με access a uthorization p lugins
\footfullcite { accessAuthorizationPlugin} , περιορίζεται η πρόσβαση στον
δαίμονα του Docker. Επιπροσθέτως, πολύ εύκολα μπορεί ν α
η επικοινωνία μεταξύ δοχείων, καθώς και με το δίκτυο του συστήματος.
\end { itemize}
@@ -1768,7 +1768,7 @@ runtimes όπως το LXC και το containerd, το οποίο ήταν γ ι
διαχειριστή/ριζικού (root).
Ένα ακόμα εργαλείο που έχει παρόμοια αρχιτεκτονική με το Podman είναι το rkt το
οποίο προσπαθούσε ν α
οποίο προσπαθούσε ν α αρχής
(Secure-by-design). Μπορούσε ν α
υποστήριξη SELinux, TPM measurement και εκτέλεση δοχείων σε απομονωμένες από το
υλικό εικονικές μηχανές. Παρ' όλα αυτά, σύμφωνα με το \cite { dockerAlternatives}
@@ -1886,8 +1886,8 @@ Docker ώστε ν α ο ι
\item \textbf { IPC namespaces} γ ι α
των διεργασιών μεταξύ τους. Τ α
δημιουργία ξεχωριστών συνόλων των διεργασιών, που επικοινωνούν μεταξύ
τους αλλά όχι με άλλες διεργασίες πέραν του υποσυνόλου.
δημιουργία ξεχωριστών συνόλων των διεργασιών που επικοινωνούν μεταξύ τους,
αλλά όχι με άλλες διεργασίες πέραν του υποσυνόλου.
\item \textbf { Network namespaces} . Μία από τις σημαντικότερες απομονώσεις
είναι αυτή του δικτύου. Χωρίς δικτυακή απομόνωση υπάρχει κίνδυνος
@@ -1910,7 +1910,7 @@ Docker ώστε ν α ο ι
Αυτές ο ι ν α
εκμεταλλευτεί γ ι α ν α
υπάρχει και η δυνατότητα υποστήριξης Kernel Security Modules, όπως SELinux
υπάρχει και η δυνατότητα υποστήριξης Kernel Security Modules, όπως τα SELinux
\footfullcite { selinux} και AppArmor \footfullcite { apparmor} αλλά και του
Seccomp \footfullcite { seccomp} (στην περίπτωση χρήσης LXC), καθώς επίσης και
συμβατότητα με Linux capabilities, που θα μπορούσαν ν α
@@ -1925,7 +1925,7 @@ Seccomp \footfullcite{seccomp} (στην περίπτωση χρήσης LXC),
\clearpage
\subsubsection { Συχνά είδη επιθέσεων σε δοχεία και μέθοδοι πρόληψης} \label { commonAttacksAndPrevention}
\subsubsection { Συχνά είδη επιθέσεων σε δοχεία και μέθοδοι πρόληψης τους } \label { commonAttacksAndPrevention}
Μερικά είδη επιθέσεων σε δοχεία με τους τρόπους αντιμετώπισής τους, όπως
αναφέρονται στο \cite { yasrab2018mitigating} , είναι τα εξής:
@@ -1951,34 +1951,34 @@ Seccomp \footfullcite{seccomp} (στην περίπτωση χρήσης LXC),
\item \textbf { Άρνηση υπηρεσίας} :
Μ ι α
δικτύου . Κατά τη διάρκεια μιας τέτοιας επίθεσης, μια διεργασία ή ένα
σύνολο διεργασιών επιχειρεί ν α καταναλώσει όλους τους πόρους του
συστήματος προκειμένου ν α ν α
Αυτό μπορεί ν α βρεθεί υπό τον έλεγχο ενός
επιτιθέμενου και επιχειρήσει ν α πόρους που κανονικά δε
χρειάζεται. Για ν α μια επίθεση άρνησης
υπηρεσίας, πρέπει ν α που αναφέραμε στο
\ref { dockerAttackVectorMitigation} με σκοπό τον αυστηρότερο έλεγχο
διαμοιρασμού των πόρων του συστήματος. Με τον καθορισμό διαθέσιμων
πόρων γ ι α κίνδυνος ν α
κάποιο δοχείο ν α
Μ ι α
δικτύου είναι η άρνηση υπηρεσίας . Κατά τη διάρκεια μιας τέτοιας
επίθεσης, μια διεργασία ή ένα σύνολο διεργασιών επιχειρεί ν α
καταναλώσει όλους τους πόρους του συστήματος προκειμένου ν α
ν α Αυτό μπορεί ν α
βρεθεί υπό τον έλεγχο ενός επιτιθέμενου και επιχειρήσει ν α
πόρους που κανονικά δε χρειάζεται. Για ν α
μια επίθεση άρνησης υπηρεσίας, πρέπει ν α
που αναφέραμε στο \ref { dockerAttackVectorMitigation} με σκοπό τον
αυστηρότερο έλεγχο διαμοιρασμού των πόρων του συστήματος. Με τον
καθορισμό διαθέσιμων πόρων γ ι α αρχής, δεν υπάρχει
κίνδυνος ν α κάποιο δοχείο ν α
\clearpage
\item \textbf { Αποδράσεις Δοχείων (Container Breakouts)} :
Σε τέτοιου είδους επιθέσεις, ένας επιτιθέμενος προσπαθεί αφού απέκτησε
πρόσβαση σε ένα δοχείο, ν α ν α
αρχεία του κύριου συστήματος. Αυτό μπορεί ν α
συνάρτησης που απαιτεί δικαιώματα διαχειριστικού λογαριασμού μέσα από
το δοχείο προκειμένου ν α
οποία είχε πρόσβαση εξαρχής. Σύμφωνα με το Docker η μόνη έκδοση που
είχε αυτή την ευπάθεια ήταν η 0.11 και στην επόμενη διορθώθηκε. Για την
πρόληψη μελλοντικών μεθόδων διεκπεραίωσης τέτοιου είδους επίθεσης,
συνίσταται ν α ο ι αποθηκευτικοί τους χώροι σε
κατάσταση μονάχα ανάγνωσης, καθώς και ν α αποφεύγεται η χρήση της
παραμέτρου \textquote { privileged} .
Σε τέτοιου είδους επιθέσεις, ένας επιτιθέμενος προσπαθεί αφού απέκτησε
πρόσβαση σε ένα δοχείο, ν α ν α
αρχεία του κύριου συστήματος. Αυτό μπορεί ν α
συνάρτησης που απαιτεί δικαιώματα διαχειριστικού λογαριασμού μέσα από
το δοχείο προκειμένου ν α
οποία είχε πρόσβαση εξ αρχής. Σύμφωνα με το Docker η μόνη έκδοση που
μπορούσε ν α αυτή την ευπάθεια ήταν η 0.11 και στην
επόμενη διορθώθηκε. Για την πρόληψη μελλοντικών μεθόδων διεκπεραίωσης
τέτοιου είδους επίθεσης, συνίσταται ν α ο ι
αποθηκευτικοί τους χώροι σε κατάσταση μονάχα ανάγνωσης, καθώς και ν α
αποφεύγεται η χρήση της παραμέτρου \textquote { privileged} .
\item \textbf { Δηλητηριασμένες εικόνες δοχείων} :
