testimistööriistade tulemused, et tuvastada parandamata haavatavused ja tuvastada turvaprobleemid isoleeritud Dockeri konteineri kujutistes. Audit näitas, et 4-st teadaolevast Dockeri pildiskannerist 6 sisaldasid kriitilisi turvaauke, mis võimaldasid rünnata otse skannerit ennast ja saavutada selle koodi täitmine süsteemis, mõnel juhul (näiteks Snyki kasutamisel) juurõigustega.
Rünnakuks peab ründaja lihtsalt käivitama oma Dockerfile'i või manifest.jsoni kontrolli, mis sisaldab spetsiaalselt loodud metaandmeid, või paigutama Podfile'i ja gradlew-failid pildi sisse. Kasutage prototüüpe süsteemide jaoks
, ,
и
. Pakett näitas parimat turvalisust , algselt kirjutatud turvalisust silmas pidades. Ka pakis ei tuvastatud probleeme. . Selle tulemusena jõuti järeldusele, et Dockeri konteinerskannereid tuleks kasutada isoleeritud keskkondades või kasutada ainult nende enda piltide kontrollimiseks ning selliste tööriistade ühendamisel automatiseeritud pideva integratsioonisüsteemidega tuleks olla ettevaatlik.
FOSSA, Snyk ja WhiteSource puhul seostati haavatavust välise paketihalduri helistamisega, et määrata kindlaks sõltuvused ja mis võimaldas teil koodi täitmist korraldada, määrates failides puute- ja süsteemikäsud. и .
Snykil ja WhiteSource'il oli lisaks , süsteemikäskude käivitamise korraldamisega Dockerfile'i parsimisel (näiteks Snykis oli Dockfile'i kaudu võimalik asendada skanneri kutsutud utiliit /bin/ls ja WhiteSurce'is oli võimalik koodi asendada argumentide kaudu kujul "echo ';touch /tmp/hacked_whitesource_pip;=1.0").
Ankru haavatavus utiliidi kasutades Dockeri piltidega töötamiseks. Toiming taandus parameetrite (nt '"os": "$(touch hacked_anchore)"' lisamisele manifest.json-faili, mis asendatakse skopeo kutsumisel ilma korraliku põgenemiseta (välja lõigati ainult ";&<>" märgid, kuid konstruktsioon "$( )").
Sama autor viis läbi uuringu paikamata turvaaukude tuvastamise tõhususe kohta Dockeri konteineri turvaskannerite abil ja valepositiivsete tulemuste taseme kohta (, , ). Allpool on 73 teadaolevaid turvaauke sisaldava pildi testimise tulemused ja hinnatakse ka piltidel tüüpiliste rakenduste (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) olemasolu määramise tõhusust.
Allikas: opennet.ru