Adabakirik gabeko ahuleziak identifikatzeko eta Docker edukiontzien irudi isolatuetan segurtasun-arazoak identifikatzeko proben tresnen emaitzak. Ikuskaritzak erakutsi zuen Docker-eko irudi-eskaner ezagunetatik 4k ahultasun larriak zituztela eskanerra bera zuzenean erasotzea eta bere kodea sisteman exekutatzeko aukera ematen zutenak, kasu batzuetan (adibidez, Snyk erabiltzean) root eskubideekin.
Erasoa egiteko, erasotzaileak bere Dockerfile edo manifest.json-en egiaztapena hasi behar du, zeinak bereziki diseinatutako metadatuak barne, edo Podfile eta gradlew fitxategiak irudiaren barruan jarri. Prototipoak ustiatu sistemetarako
, ,
ΠΈ
. Paketeak segurtasun onena erakusten zuen , jatorriz segurtasuna kontuan hartuta idatzia. Paketean ere ez zen arazorik identifikatu. . Ondorioz, ondorioztatu zen Docker edukiontzien eskanerrak ingurune isolatuetan exekutatu behar zirela edo beren irudiak egiaztatzeko soilik erabili behar zirela, eta kontuz ibili behar zela tresna horiek etengabeko integrazio sistema automatizatuetara konektatzean.
FOSSA, Snyk eta WhiteSource-n, ahultasuna kanpoko pakete-kudeatzaile bati deitzearekin lotuta zegoen menpekotasunak zehazteko eta zure kodearen exekuzioa antolatzeko aukera ematen zuen fitxategietan ukipen- eta sistema-komandoak zehaztuz. ΠΈ .
Snyk eta WhiteSource-k ere izan zuten , Dockerfile-a analizatzean sistemako komandoak abiarazteko antolakuntzarekin (adibidez, Snyk-en, Dockefile bidez, eskanerrak deitutako /bin/ls utilitatea ordeztea posible zen, eta WhiteSurce-n, argumentuen bidez kodea ordezkatzea posible zen. "oihartzuna ';touch /tmp/hacked_whitesource_pip;=1.0 β²") forma.
Aingura ahultasuna erabilgarritasuna erabiliz Docker irudiekin lan egiteko. Eragiketa '"os": "$(touch hacked_anchore)"' manifest.json fitxategira bezalako parametroak gehitzean laburtu zen, eta horiek skopeo deitzean ordezkatzen dira ihes egokirik gabe (";&<>" karaktereak bakarrik moztu ziren, baina "$( )") eraikuntza).
Egile berak Docker edukiontzien segurtasun eskanerrak erabiliz adabaki gabeko ahuleziak identifikatzeko eraginkortasunaren eta positibo faltsuen mailaren azterketa egin zuen (, , ). Jarraian, ahultasun ezagunak dituzten 73 irudi probaren emaitzak daude, eta irudietan aplikazio tipikoen presentzia (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) zehaztearen eraginkortasuna ere ebaluatzen da.
Iturria: opennet.ru