rezultoj de testado de iloj por identigi neflikitajn vundeblecojn kaj identigi sekurecproblemojn en izolitaj bildoj de Docker-ujo. La revizio montris, ke 4 el 6 konataj bildoj de Docker-skaniloj enhavis kritikajn vundeblecojn, kiuj ebligis ataki la skanilon mem rekte kaj atingi ekzekuton de ĝia kodo en la sistemo, en iuj kazoj (ekzemple, kiam oni uzas Snyk) kun radikaj rajtoj.
Por ataki, atakanto simple devas komenci kontrolon de sia Dockerfile aŭ manifest.json, kiu inkluzivas speciale desegnitajn metadatenojn, aŭ meti Podfile kaj gradlew-dosierojn en la bildon. Ekspluati prototipojn por sistemoj
, ,
и
. La pako montris la plej bonan sekurecon , origine verkita kun sekureco en menso. Ankaŭ neniuj problemoj estis identigitaj en la pakaĵo. . Kiel rezulto, oni konkludis, ke Docker-ujoj-skaniloj devus esti funkciitaj en izolitaj medioj aŭ uzataj nur por kontroli siajn proprajn bildojn, kaj ke singardemo devus esti ekzercita dum ligado de tiaj iloj al aŭtomatigitaj kontinuaj integrigaj sistemoj.
En FOSSA, Snyk kaj WhiteSource, la vundebleco estis asociita kun vokado de ekstera pakaĵmanaĝero por determini dependencojn kaj permesis al vi organizi la ekzekuton de via kodo specifante la tuŝajn kaj sistemajn komandojn en dosieroj. и .
Snyk kaj WhiteSource aldone havis , kun la organizo de lanĉado de sistemaj komandoj dum analizado de la Dockerfile (ekzemple, en Snyk, per Dockefile, eblis anstataŭigi la /bin/ls ilon nomitan de la skanilo, kaj en WhiteSurce, estis eble anstataŭigi kodon per argumentoj en la formo "eĥo ';tuŝu /tmp/hacked_whitesource_pip;=1.0 ′").
Ankora vundebleco uzante la utilecon por labori kun docker-bildoj. Operacio resumiĝis al aldono de parametroj kiel '"os": "$(touch hacked_anchore)"' al la manifest.json-dosiero, kiuj estas anstataŭigitaj dum vokado de skopeo sen taŭga eskapo (nur la ";&<>" signoj estis eltranĉitaj, sed la konstruo "$( )").
La sama verkinto faris studon pri la efikeco de identigado de neflakitaj vundeblecoj per Docker-ujo-sekurecskaniloj kaj la nivelo de falsaj pozitivoj (, , ). Malsupre estas la rezultoj de testado de 73 bildoj enhavantaj konatajn vundeblecojn, kaj ankaŭ taksas la efikecon de determini la ĉeeston de tipaj aplikoj en bildoj (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
fonto: opennet.ru