rezultati testiranja alata za identifikaciju nezakrpljenih ranjivosti i identifikaciju sigurnosnih problema u izoliranim slikama Docker kontejnera. Revizija je pokazala da 4 od 6 poznatih Docker skenera slika sadrže kritične ranjivosti koje su omogućile direktan napad na sam skener i postizanje izvršenja njegovog koda na sistemu, u nekim slučajevima (na primjer, kada se koristi Snyk) s root pravima.
Da bi napao, napadač jednostavno treba da pokrene provjeru svog Dockerfile-a ili manifest.json-a, koji uključuje posebno dizajnirane metapodatke, ili smjesti Podfile i gradlew datoteke unutar slike. Iskoristite prototipove za sisteme
, ,
и
. Paket je pokazao najbolju sigurnost , izvorno napisan sa sigurnošću na umu. Ni u paketu nisu identifikovani problemi. . Kao rezultat toga, zaključeno je da Docker kontejnerske skenere treba pokretati u izoliranim okruženjima ili koristiti samo za provjeru vlastitih slika, te da treba biti oprezan pri povezivanju takvih alata sa automatiziranim sustavima kontinuirane integracije.
U FOSSA, Snyk i WhiteSource, ranjivost je bila povezana sa pozivanjem eksternog menadžera paketa da odredi zavisnosti i omogućila vam je da organizujete izvršavanje vašeg koda navođenjem dodirnih i sistemskih komandi u fajlovima. и .
Snyk i WhiteSource su dodatno imali , sa organizacijom pokretanja sistemskih komandi prilikom raščlanjivanja Dockerfile-a (na primjer, u Snyku, preko Dockefile-a, bilo je moguće zamijeniti /bin/ls uslužni program koji je pozvao skener, a u WhiteSurce-u je bilo moguće zamijeniti kod kroz argumente u obrazac “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Ranjivost sidrenja koristeći uslužni program za rad sa docker slikama. Operacija se svela na dodavanje parametara poput '"os": "$(touch hacked_anchore)"' u manifest.json datoteku, koji se zamjenjuju pri pozivanju skopeoa bez pravilnog izlaza (samo su znakovi ";&<>" izrezani, ali konstrukcija "$( )").
Isti autor je proveo studiju efikasnosti identifikacije nezakrpljenih ranjivosti pomoću Docker sigurnosnih skenera kontejnera i nivoa lažnih pozitivnih rezultata (, , ). Ispod su rezultati testiranja 73 slike koje sadrže poznate ranjivosti, a također se procjenjuje efikasnost određivanja prisustva tipičnih aplikacija na slikama (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
izvor: opennet.ru