Kaniadtong Sabado, Mayo 18, si Jerry Gamblin sa Kenna Security 1000 sa labing inila nga mga imahe gikan sa Docker Hub base sa root password nga ilang gigamit. Sa 19% sa mga kaso kini walay sulod.
Background nga adunay Alpine
Ang hinungdan sa mini-research mao ang Talos Vulnerability Report nga nagpakita sayo ning bulana (), ang mga tagsulat diin - salamat sa pagkadiskobre ni Peter Adkins gikan sa Cisco Umbrella - nagtaho nga ang mga imahe sa Docker nga adunay sikat nga pag-apod-apod sa sulud sa Alpine walaβy root password:
"Opisyal nga mga bersyon sa Alpine Linux Docker nga mga imahe (sukad sa v3.3) adunay usa ka NULL nga password alang sa gamut nga tiggamit. Kini nga pagkahuyang miresulta gikan sa usa ka pagbag-o nga gipaila kaniadtong Disyembre 2015. Ang diwa niini mao nga ang mga sistema nga gipakatap nga adunay problema nga mga bersyon sa Alpine Linux sa usa ka sudlanan ug gamit ang Linux PAM o laing mekanismo nga naggamit sa system shadow file isip database sa pag-authentication mahimong modawat sa NULL nga password alang sa root user.
Ang mga bersyon sa mga imahe sa Docker nga gisulayan sa Alpine alang sa problema mao ang 3.3-3.9, ingon man ang pinakabag-o nga pagpagawas sa edge.
Gihimo sa mga tagsulat ang mosunod nga rekomendasyon alang sa mga apektadong tiggamit:
"Ang gamut nga account kinahanglan nga tin-aw nga gipugngan sa mga imahe sa Docker nga gitukod gikan sa mga problema nga bersyon sa Alpine. Ang lagmit nga pagpahimulos sa pagkahuyang nagdepende sa kalikopan, tungod kay ang kalampusan niini nanginahanglan usa ka eksternal nga gipasa nga serbisyo o aplikasyon gamit ang Linux PAM o uban pang parehas nga mekanismo."
Ang problema mao sa Alpine nga mga bersyon 3.6.5, 3.7.3, 3.8.4, 3.9.2 ug edge (20190228 snapshot), ug ang mga tag-iya sa naapektuhan nga mga imahe gihangyo nga magkomento sa linya nga adunay gamut sa /etc/shadow o siguruha nga wala ang pakete linux-pam.
Nagpadayon sa Docker Hub
Nakahukom si Jerry Gamblin nga mausisa bahin sa "kon unsa ka sagad ang praktis sa paggamit sa mga null nga password sa mga sudlanan." Alang niini nga katuyoan nagsulat siya usa ka gamay , ang esensya niini yano ra kaayo:
- pinaagi sa usa ka curl nga hangyo sa API sa Docker Hub, usa ka lista sa mga imahe sa Docker nga gi-host didto gihangyo;
- pinaagi sa jq kini gihan-ay sa uma
popularity, ug gikan sa mga resulta nga nakuha, ang unang libo nagpabilin; - para sa matag usa kanila kini natuman
docker pull; - kay ang matag hulagway nga nadawat gikan sa Docker Hub gipatuman
docker runuban sa pagbasa sa unang linya gikan sa file/etc/shadow; - kon ang bili sa hilo katumbas sa
root:::0:::::, ang ngalan sa hulagway gitipigan sa bulag nga file.
Unsay nahitabo? SA Adunay mga linya sa 194 nga adunay mga ngalan sa mga sikat nga imahe sa Docker nga adunay mga sistema sa Linux, diin ang gamut nga tiggamit walaβy set sa password:
βKauban sa labing inila nga mga ngalan sa kini nga lista mao ang govuk/governmentpaas, hashicorp, microsoft, monsanto ug mesosphere. Ug ang kylemanna/openvpn mao ang labing inila nga sudlanan sa lista, ang estadistika niini adunay kinatibuk-an nga labaw sa 10 milyon nga pagbira.
Angay nga hinumdoman, bisan pa, nga kini nga panghitabo sa iyang kaugalingon wala magpasabut nga usa ka direkta nga pagkahuyang sa seguridad sa mga sistema nga naggamit niini: kini tanan nagdepende kung giunsa kini gigamit. (tan-awa ang komento gikan sa Alpine case sa ibabaw). Bisan pa, nakita namon ang "moral sa istorya" sa daghang mga higayon: ang dayag nga kayano kanunay adunay usa ka kapakyasan, nga kinahanglan kanunay nga hinumdoman ug ang mga sangputanan nga gikonsiderar sa imong mga senaryo sa aplikasyon sa teknolohiya.
PS
Basaha usab sa among blog:
- Β«";
- Β«";
- Β«";
- Β«".
Source: www.habr.com