这不是特权升级，其中代码“仅”作为更高特权用户执行。这个问题是关于 Linux 内核中代码的执行，即在所有 docker 实例和包含 docker 实例的操作系统之间共享的内核。这是一个人可以获得的最高特权，在这个级别上，一个人可以绕过任何类型的限制。这意味着能够执行此攻击的非特权用户可以突破容器。

首先，是的；如果您的内核支持密钥环，那么 docker 不会阻止它们的使用，这意味着它们也不会阻止利用。

但值得注意的是，docker 容器并不是安全容器。虽然它们可以并且通常确实提供某种级别的安全性，但这不是它们的目的，并且做出的设计决策与虚拟化恶意代码不兼容。隔离必须发生在上面的一层。

从 Docker 1.10 开始，答案是这不适用于默认安装，因为 keyctl 系统调用被默认的 seccomp 过滤器阻止。