ProHoster > Blog > ynternet nijs > 19.4% fan 'e top 1000 Docker-konteners befetsje in leech root-wachtwurd
19.4% fan 'e top 1000 Docker-konteners befetsje in leech root-wachtwurd
Jerry Gamblin besletten om út te finen hoe wiidferspraat de nij identifisearre in probleem yn Docker-ôfbyldings fan 'e Alpine-distribúsje, ferbûn mei it opjaan fan in leech wachtwurd foar de root-brûker. Analyse fan tûzenen fan 'e populêrste konteners út' e Docker Hub-katalogus toande,wat yn 194 fan dizze (19.4%) wurdt in leech wachtwurd ynsteld foar root sûnder it akkount te beskoatteljen ("root:::0:::::" ynstee fan "root:!::0:::::").
As de kontener de skaad- en linux-pam-pakketten brûkt, brûk dan in leech root-wachtwurd stiet ta eskalearje jo privileezjes yn 'e kontener as jo net-befoarrjochte tagong hawwe ta de kontener of nei it eksploitearjen fan in kwetsberens yn in net-befoarrjochte tsjinst dy't yn 'e kontener rint. Jo kinne ek ferbine mei de kontener mei root-rjochten as jo tagong hawwe ta de ynfrastruktuer, d.w.s. mooglikheid om fia terminal te ferbinen mei de TTY spesifisearre yn 'e /etc/securetty-list. Oanmelde mei in leech wachtwurd wurdt blokkearre fia SSH.