ለዶከር መያዣ ምስሎች በደህንነት ስካነሮች ውስጥ ያሉ ድክመቶች

የታተመ ያልተጣበቁ ተጋላጭነቶችን ለመለየት እና በገለልተኛ የዶከር መያዣ ምስሎች ውስጥ ያሉ የደህንነት ጉዳዮችን ለመለየት ከሙከራ መሳሪያዎች የተገኙ ውጤቶች። ኦዲቱ እንደሚያሳየው ከ4ቱ የታወቁት የዶከር ምስል ስካነሮች ውስጥ 6ቱ ወሳኝ ተጋላጭነቶችን ያካተቱ ሲሆን ይህም ስካነሩን በቀጥታ ለማጥቃት እና በሲስተሙ ላይ ያለውን ኮድ ለማስፈጸም ያስቻለ ሲሆን በአንዳንድ ሁኔታዎች (ለምሳሌ Snyk ሲጠቀሙ) ከስር መብቶች ጋር።

ለማጥቃት፣ አንድ አጥቂ በቀላሉ የሱን Dockerfile ወይም manifest.json ቼክ መጀመር አለበት፣ ይህም በልዩ ሁኔታ የተነደፈ ሜታዳታ፣ ወይም Podfile እና gradlew ፋይሎችን በምስሉ ውስጥ ማስቀመጥ አለበት። ፕሮቶታይፕን ተጠቀም ማዘጋጀት ችሏል ለስርዓቶች
የነጭ ምንጭ, ስኒክ,
ፎሶሳ и
መልህቅ. ጥቅሉ ምርጡን ደህንነት አሳይቷል። Clairበመጀመሪያ የተጻፈው ደህንነትን ግምት ውስጥ በማስገባት ነው። በጥቅሉ ውስጥ ምንም ችግሮች አልተገኙም. ትሪቪ. በዚህ ምክንያት የዶከር ኮንቴይነሮች ስካነሮች በገለልተኛ አካባቢዎች እንዲሠሩ ወይም የራሳቸውን ምስሎች ለመፈተሽ ብቻ ጥቅም ላይ እንዲውሉ እና እንደነዚህ ያሉትን መሳሪያዎች ወደ አውቶማቲክ ተከታታይ ውህደት ስርዓቶች ሲያገናኙ ጥንቃቄ መደረግ አለበት የሚል ድምዳሜ ላይ ተደርሷል።

በFOSSA፣ Snyk እና WhiteSource ውስጥ፣ ተጋላጭነቱ ጥገኞችን ለመወሰን የውጭ የጥቅል አስተዳዳሪን ከመጥራት ጋር የተያያዘ ሲሆን በፋይሎች ውስጥ የንክኪ እና የስርዓት ትዕዛዞችን በመግለጽ የኮድዎን አፈፃፀም እንዲያደራጁ አስችሎታል። gradlew и ፖድፋይል.

Snyk እና WhiteSource በተጨማሪ ነበራቸው ተገኝቷል ድክመቶች, ተዛማጅ ዶከርፋይልን በሚተነተንበት ጊዜ የስርዓት ትዕዛዞችን የማስጀመር ድርጅት ጋር (ለምሳሌ በ Snyk ውስጥ ፣ በ Dockfile በኩል ፣ በስካነር የሚጠራውን / bin/ls መገልገያውን መተካት ተችሏል ፣ እና በ WhiteSurce ፣ በ ውስጥ በክርክር ኮድ መተካት ተችሏል ። ቅጽ "echo ';touch /tmp/hacked_whitesource_pip;=1.0 "").

መልህቅ ተጋላጭነት ተብሎ ተጠርቷል። መገልገያውን በመጠቀም ስኮፔዮ ከዶከር ምስሎች ጋር ለመስራት. ክዋኔው ልክ እንደ '"os": "$(touch hacked_anchore)"' ወደ የማኒፌቲስት.json ፋይል ቀርቧል፣ ይህም በትክክል ሳያመልጡ ወደ ስኮፒኦ ሲደውሉ የሚተኩ ናቸው (የ";&<>" ቁምፊዎች ብቻ ተቆርጠዋል፣ ግን ግንባታው "$ ()").

ይኸው ደራሲ የዶከር ኮንቴይነር ሴኪዩሪቲ ስካነሮችን በመጠቀም ያልተጣበቁ ተጋላጭነቶችን የመለየት ውጤታማነት እና የውሸት አወንታዊ ደረጃ ላይ ጥናት አካሂደዋል (ьасть 1, ьасть 2, ьасть 3). ከዚህ በታች የታወቁ ድክመቶችን ያካተቱ 73 ምስሎችን የመሞከር ውጤቶች አሉ እና እንዲሁም በምስሎች (nginx, Tomcat, haproxy, gunicorn, redis, ruby, node) ውስጥ የተለመዱ መተግበሪያዎች መኖራቸውን የመወሰን ውጤታማነትን ይገመግማሉ.

ምንጭ: opennet.ru