19% የሚሆኑት ከፍተኛ Docker ምስሎች የስር ይለፍ ቃል የላቸውም

ባለፈው ቅዳሜ፣ ሜይ 18፣ የኬና ሴኪዩሪቲ ጄሪ ጋምብሊን ተረጋግጧል ከDocker Hub 1000 በጣም ታዋቂ ምስሎች በሚጠቀሙት የስር ይለፍ ቃል መሰረት። በ 19% ጉዳዮች ባዶ ነበር.

ዳራ ከአልፓይን ጋር

ለአነስተኛ ጥናት ምክንያቱ በዚህ ወር መጀመሪያ ላይ የወጣው የታሎስ የተጋላጭነት ሪፖርት ነው (ታሎስ-2019-0782) ደራሲዎቹ - ፒተር አድኪንስ ከሲስኮ ጃንጥላ በማግኘታቸው - ታዋቂው የአልፕስ ኮንቴይነር ስርጭት ያላቸው የዶከር ምስሎች የስር የይለፍ ቃል እንደሌላቸው ዘግበዋል ።

“የአልፓይን ሊኑክስ ዶከር ምስሎች ኦፊሴላዊ ስሪቶች (ከv3.3 ጀምሮ) ለስር ተጠቃሚ NULL የይለፍ ቃል ይይዛሉ። ይህ ተጋላጭነት በታህሳስ 2015 በተዋወቀው ሪግሬሽን ምክንያት የመጣ ነው። የዚህ ፍሬ ነገር ችግር ያለባቸውን የአልፓይን ሊኑክስ ስሪቶች በማጠራቀሚያ ውስጥ እና ሊኑክስ ፓም ወይም ሌላ የስርዓት ጥላ ፋይልን እንደ የማረጋገጫ ዳታቤዝ የሚጠቀም ስርዓቶች ለስር ተጠቃሚው NULL የይለፍ ቃል ሊቀበሉ ይችላሉ።

ለችግሩ የተፈተኑት የዶከር ምስሎች ስሪቶች 3.3-3.9 ያካተቱ ናቸው፣ እንዲሁም የቅርብ ጊዜ የተለቀቀው የጠርዝ።

ደራሲዎቹ ለተጎዱ ተጠቃሚዎች የሚከተለውን ምክር ሰጥተዋል።

ችግር ካለባቸው የአልፓይን ስሪቶች በተገነቡ Docker ምስሎች ውስጥ የስር መለያው በግልፅ መሰናከል አለበት። ስኬቱ ሊኑክስ ፓም ወይም ሌላ ተመሳሳይ ዘዴን በመጠቀም ወደ ውጭ የሚተላለፍ አገልግሎት ወይም መተግበሪያን ስለሚፈልግ የተጋላጭነት ብዝበዛ በአካባቢው ላይ የተመካ ነው።

ችግሩ ነበር። ተወግዷል በአልፓይን እትሞች 3.6.5፣ 3.7.3፣ 3.8.4፣ 3.9.2 እና edge (20190228 ቅጽበተ ፎቶ) እና የተጎዱ ምስሎች ባለቤቶች ከስር ጋር ያለውን መስመር እንዲገልጹ ተጠይቀዋል። /etc/shadow ወይም ጥቅሉ መጥፋቱን ያረጋግጡ linux-pam.

በDocker Hub የቀጠለ

ጄሪ ጋምብሊን “በኮንቴይነር ውስጥ ባዶ የይለፍ ቃሎችን የመጠቀም ልማድ ምን ያህል የተለመደ ሊሆን እንደሚችል ለማወቅ” ለማወቅ ወስኗል። ለዚሁ ዓላማ ትንሽ ጻፈ bash ስክሪፕት, ዋናው ነገር በጣም ቀላል ነው.

• በDocker Hub ውስጥ ላለው ኤፒአይ በመጠምዘዝ፣ እዚያ የሚስተናገዱ የዶከር ምስሎች ዝርዝር ይጠየቃል።
• በ jq በኩል በመስክ የተደረደረ ነው። popularity, እና ከተገኘው ውጤት, የመጀመሪያው ሺህ ይቀራል;
• ለእያንዳንዳቸው ይሟላል docker pull;
• ከDocker Hub የተቀበለው እያንዳንዱ ምስል ይፈጸማል docker run ከፋይሉ የመጀመሪያውን መስመር በማንበብ /etc/shadow;
• የሕብረቁምፊው ዋጋ እኩል ከሆነ root:::0:::::, የምስሉ ስም በተለየ ፋይል ውስጥ ተቀምጧል.

ምን ሆነ? ውስጥ ይህ ፋይል ከሊኑክስ ስርዓቶች ጋር ታዋቂ የሆኑ የዶከር ምስሎች ስም ያላቸው 194 መስመሮች ነበሩ ፣ በዚህ ውስጥ ስር ተጠቃሚው የይለፍ ቃል የሌለው።

“በዚህ ዝርዝር ውስጥ ከታወቁት ስሞች መካከል govuk/governmentpaas፣ hashicorp፣ microsoft፣ monsanto እና mesosphere ይገኙበታል። እና kylemanna/openvpn በዝርዝሩ ውስጥ በጣም ታዋቂው መያዣ ነው፣ ስታቲስቲክስ በአጠቃላይ ከ10 ሚሊዮን በላይ ይጎትታል።

ነገር ግን ይህ ክስተት በራሱ በሚጠቀሙባቸው ስርዓቶች ደህንነት ላይ ቀጥተኛ ተጋላጭነት ማለት እንዳልሆነ ማስታወስ ጠቃሚ ነው-ሁሉም በትክክል እንዴት ጥቅም ላይ እንደሚውሉ ይወሰናል. (ከላይ ካለው የአልፕስ ጉዳይ አስተያየት ይመልከቱ). ሆኖም ግን፣ “የታሪኩን ሞራል” ብዙ ጊዜ አይተናል፡ ግልጽነት ያለው ቀላልነት ብዙ ጊዜ አሉታዊ ጎን አለው፣ ሁልጊዜም መታወስ ያለበት እና የሚያስከትለውን መዘዝ በቴክኖሎጂ አተገባበርዎ ሁኔታዎች ውስጥ ግምት ውስጥ ማስገባት አለበት።

PS

በብሎጋችን ላይ ያንብቡ፡-

• «በDocker Hub ላይ ባሉ ምስሎች ስር ያሉ ስርዓተ ክወናዎች ላይ ስታትስቲክስ";
• «ዶከር እና ኩበርኔትስ በደህንነት-ጠያቂ አካባቢዎች";
• «በ runc ውስጥ ተጋላጭነት CVE-2019-5736፣ ይህም በአስተናጋጁ ላይ የስር መብቶችን እንዲያገኙ ያስችልዎታል";
• «የተጋለጠ ዶከር ቪኤም - ለዶከር እና ለማጥበቅ የእንቆቅልሽ ምናባዊ ማሽን».

ምንጭ: hab.com