mga resulta gikan sa mga himan sa pagsulay aron mahibal-an ang mga walaβy patik nga kahuyangan ug mahibal-an ang mga isyu sa seguridad sa nahilit nga mga imahe sa sudlanan sa Docker. Gipakita sa pag-audit nga ang 4 sa 6 nga nahibal-an nga mga scanner sa imahe sa Docker adunay mga kritikal nga kahuyangan nga nagpaposible sa pag-atake sa scanner mismo direkta ug pagkab-ot sa pagpatuman sa code niini sa sistema, sa pipila ka mga kaso (pananglitan, kung gigamit ang Snyk) nga adunay mga katungod sa gamut.
Sa pag-atake, ang usa ka tig-atake kinahanglan lang nga magsugod sa usa ka pagsusi sa iyang Dockerfile o manifest.json, nga naglakip sa espesyal nga gidisenyo nga metadata, o ibutang ang Podfile ug gradlew nga mga file sulod sa imahe. Pagpahimulos sa mga prototype alang sa mga sistema
, ,
ΠΈ
. Gipakita sa package ang labing kaayo nga seguridad , orihinal nga gisulat uban sa seguridad sa hunahuna. Wala usab nakit-an nga mga problema sa pakete. . Ingon usa ka sangputanan, nakahinapos nga ang mga scanner sa sulud sa Docker kinahanglan nga ipadagan sa mga hilit nga palibot o gamiton lamang aron masusi ang ilang kaugalingon nga mga imahe, ug kana nga pag-amping kinahanglan gamiton kung magkonektar sa ingon nga mga himan sa awtomatiko nga padayon nga mga sistema sa panagsama.
Sa FOSSA, Snyk ug WhiteSource, ang pagkahuyang nalangkit sa pagtawag sa usa ka external package manager aron mahibal-an ang mga dependency ug gitugotan ka sa pag-organisar sa pagpatuman sa imong code pinaagi sa pagtino sa touch ug system commands sa mga file. ΠΈ .
Adunay usab ang Snyk ug WhiteSource , uban ang organisasyon sa paglansad sa mga command system sa dihang nag-parse sa usa ka Dockerfile (pananglitan, sa Snyk, pinaagi sa Dockefile, posible nga mapulihan ang /bin/ls utility nga gitawag sa scanner, ug sa WhiteSurce, posible nga ilisan ang code pinaagi sa mga argumento sa ang porma nga "echo ';touch /tmp/hacked_whitesource_pip;=1.0 β²").
Pagkahuyang sa anchor gamit ang utility alang sa pagtrabaho sa mga imahe sa docker. Ang operasyon gisugdan sa pagdugang ug mga parametro sama sa '"os": "$(touch hacked_anchore)"' sa manifest.json file, nga gipulihan sa pagtawag sa skopeo nga walay saktong pag-eskapo (ang ";&<>" nga mga karakter lamang ang giputol, apan ang pagtukod "$()").
Ang parehas nga tagsulat nagpahigayon usa ka pagtuon sa pagka-epektibo sa pag-ila sa mga wala ma-patch nga mga kahuyangan gamit ang Docker container security scanner ug ang lebel sa mga sayup nga positibo (, , ). Sa ubos mao ang mga resulta sa pagsulay sa 73 nga mga hulagway nga adunay nahibal-an nga mga kahuyangan, ug usab pagtimbang-timbang sa pagka-epektibo sa pagtino sa presensya sa mga tipikal nga aplikasyon sa mga hulagway (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Source: opennet.ru