Das is doch viel umfassender als hier im Artikel dargestellt...

wenn das Buildkit betroffen ist dann sind doch vor allem alle damit gebauten Container betroffen. Eiigentlich müssen sämtliche Container die mit dem alten buildkit gebaut wurden neugebaut werden. und daraus folgt dass man eigentlich kein einzigen docker build von dockerhub mehr verwenden kann der nicht aktuell is oder nachweisen kann dass der mit dem neuen Buildkit gebaut wurde. Heißt SuperGau!!

Wenn du deinen eigenen Cluster exklusiv betreibst und alle deine Dockerbuild-Files selber erstellt hast, dann bist du erstmal Safe, oder?
Alle die Kubernetes gemeanaged anbieten haben eine lange Nacht? Verstehe ich das richtig?

Nun auf dockerhub gibt es auch immer aktuelle builds. Das ist wohl nicht das Problem. Nur muss man halt alles neu erstellen lassen und vorher ggfs manuell Versionen hochziehen. Ja, das kostet Zeit.
Ein Opfer der Automatisierung halt. Trotzdem sind docker container noch sicherer als nur "ein" os zu nutzen für alle Dienste.
Für gewöhnlich führst du in deiner Umgebung ja auch nur ausgewähltes aus, also sollte es im Endeffekt keine Probleme geben, sondern das ganze ist eher ein theoretisches Problem. Oder halt dann, wenn jemand in deinem System arbeitet.
Also hoster könnten damit ein Problem bekommen.

Ok, moment, ist der Host (runc) nicht verantwortlich das niemand aus Containern ausbrechen kann?

Warum müssen Container neu gebaut werden um zu verhindern das man aus diesen ausbricht, das klingt nach einem viel größerem fundamentalem Sicherheits-Problem?

Vermutlich kannst du auch keinem `FROM alpine` mehr vertrauen, es sei denn du erzeugst dein Alpine/Ubuntu Basis-Image selbst.

> wenn das Buildkit betroffen ist dann sind doch vor allem alle damit
> gebauten Container betroffen. Eiigentlich müssen sämtliche Container die
> mit dem alten buildkit gebaut wurden neugebaut werden. und daraus folgt
> dass man eigentlich kein einzigen docker build von dockerhub mehr verwenden
> kann der nicht aktuell is oder nachweisen kann dass der mit dem neuen
> Buildkit gebaut wurde. Heißt SuperGau!!

Wenn ich die drei CVEs richtig interpretiere, beziehen sich alle drei auf die Maschine, auf der mittels BuildKit das Image gebaut wird. Eine Sicherheitslücke im Image wird dadurch nicht erzeugt.

Es mag aber Konstellationen geben, in denen man aufgrund der Lücke den gebauten Images nicht mehr vertrauen kann.

Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.