Verlede Saterdag, 18 Mei, het Jerry Gamblin van Kenna Sekuriteit Die 1000 gewildste beelde van Docker Hub volgens die wagwoord wat hulle vir die wortelgebruiker gebruik. In 19% van die gevalle het dit geblyk leeg te wees.
Agtergrond met Alpine
Die rede vir die mini-studie was die Talos-kwesbaarheidsverslag wat vroeër hierdie maand verskyn het (), waarvan die skrywers - danksy die ontdekking van Peter Adkins van Cisco Umbrella - berig het dat Docker-beelde met die gewilde Alpine-houerverspreiding nie 'n wortelwagwoord het nie:
“Amptelike weergawes van Alpine Linux Docker-beelde (begin v3.3) bevat 'n NULL-wagwoord vir die wortelgebruiker. Hierdie kwesbaarheid het verskyn as gevolg van 'n regressie wat in Desember 2015 aangebied is. Die essensie daarvan kom daarop neer dat stelsels wat met problematiese weergawes van Alpine Linux in 'n houer ontplooi is en Linux PAM of 'n ander meganisme gebruik wat die stelselskadulêer as 'n databasis vir verifikasie gebruik, 'n nul (NULL) wagwoord vir die wortelgebruiker kan aanvaar.
Die weergawes van Alpine Docker-beelde wat vir die probleem getoets is, was 3.3-3.9 insluitend, sowel as die nuutste weergawe van edge.
Die skrywers het die volgende aanbeveling aan geaffekteerde gebruikers gemaak:
“Die wortelrekening moet uitdruklik gedeaktiveer word in Docker-beelde wat uit problematiese weergawes van Alpine gebou is. Die waarskynlike uitbuiting van die kwesbaarheid hang af van die omgewing, aangesien die sukses daarvan 'n ekstern aangestuurde diens of toepassing vereis wat Linux PAM of ander soortgelyke meganisme gebruik.
Die probleem was in Alpine-weergawes 3.6.5, 3.7.3, 3.8.4, 3.9.2 en edge (20190228 momentopname), en eienaars van geaffekteerde beelde is gevra om kommentaar te lewer oor die lyn met root in /etc/shadow of maak seker die pakkie ontbreek linux-pam.
Vervolg vanaf Docker Hub
Jerry Gamblin het besluit om navraag te doen oor "hoe algemeen die gebruik van nulwagwoorde in houers kan wees." Om dit te doen, het hy 'n klein , waarvan die essensie baie eenvoudig is:
- deur 'n krulversoek na die API in Docker Hub, word 'n lys van Docker-beelde wat daar aangebied word, versoek;
- via jq sorteer dit volgens veld
popularity, en uit die resultate wat verkry is, bly die eerste duisend oor; - vir elkeen van hulle,
docker pull; - vir elke prent wat vanaf Docker Hub ontvang is,
docker runlees eerste reël uit lêer/etc/shadow; - as die stringwaarde gelyk is aan
root:::0:::::, word die prentnaam in 'n aparte lêer gestoor.
Wat het gebeur? IN daar was 194 reëls met die name van gewilde Docker-beelde met Linux-stelsels, waarin die wortelgebruiker nie 'n wagwoord gestel het nie:
“Onder die bekendste name op hierdie lys was govuk/governmentpaas, hashicorp, microsoft, monsanto en mesosphere. En kylemanna/openvpn is die gewildste houer op die lys, met meer as 10 miljoen trekke.”
Dit is egter die moeite werd om te onthou dat hierdie verskynsel op sigself nie 'n direkte kwesbaarheid beteken in die sekuriteit van die stelsels wat dit gebruik nie: dit hang alles af van hoe presies dit gebruik word. (sien opmerking van Alpine-saak hierbo). Ons het egter al baie keer die "moraal van hierdie storie" gesien: skynbare eenvoud het dikwels 'n nadeel, wat jy altyd moet onthou en die gevolge daarvan in jou scenario's vir die gebruik van tegnologie in ag moet neem.
PS
Lees ook op ons blog:
- «»;
- «»;
- «»;
- «".
Bron: will.com