resultater fra testværktøjer til at identificere uoprettede sårbarheder og identificere sikkerhedsproblemer i isolerede Docker-containerbilleder. Revisionen viste, at 4 ud af 6 kendte Docker-billedscannere indeholdt kritiske sårbarheder, der gjorde det muligt at angribe selve scanneren direkte og opnå eksekvering af dens kode på systemet, i nogle tilfælde (f.eks. ved brug af Snyk) med root-rettigheder.
For at angribe skal en angriber blot starte en kontrol af sin Dockerfile eller manifest.json, som inkluderer specialdesignede metadata, eller placere Podfile- og gradlew-filer inde i billedet. Udnyt prototyper for systemer
, ,
и
. Pakken viste den bedste sikkerhed , oprindeligt skrevet med sikkerhed for øje. Der blev heller ikke identificeret problemer i pakken. . Som et resultat blev det konkluderet, at Docker containerscannere skulle køres i isolerede miljøer eller kun bruges til at kontrollere deres egne billeder, og at der bør udvises forsigtighed ved tilslutning af sådanne værktøjer til automatiserede kontinuerlige integrationssystemer.
I FOSSA, Snyk og WhiteSource var sårbarheden forbundet med at ringe til en ekstern pakkeadministrator for at bestemme afhængigheder og gjorde det muligt for dig at organisere udførelsen af din kode ved at specificere berørings- og systemkommandoer i filer и .
Snyk og WhiteSource havde desuden , med tilrettelæggelsen af at starte systemkommandoer ved parsing af Dockerfilen (for eksempel i Snyk, gennem Dockefile, var det muligt at erstatte /bin/ls-værktøjet kaldt af scanneren, og i WhiteSurce var det muligt at erstatte kode gennem argumenter i formen "echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Anker sårbarhed ved hjælp af værktøjet til arbejde med docker-billeder. Operationen gik ud på at tilføje parametre som '"os": "$(touch hacked_anchore)"' til manifest.json-filen, som erstattes, når man kalder skopeo uden korrekt escape (kun ";&<>"-tegnene blev skåret ud, men konstruktionen "$( )").
Samme forfatter gennemførte en undersøgelse af effektiviteten af at identificere uoprettede sårbarheder ved hjælp af Docker containersikkerhedsscannere og niveauet af falske positiver (, , ). Nedenfor er resultaterne af test af 73 billeder, der indeholder kendte sårbarheder, og evaluerer også effektiviteten af at bestemme tilstedeværelsen af typiske applikationer i billeder (nginx, tomcat, haproxy, gunicorn, redis, rubin, node).
Kilde: opennet.ru