Dé Sathairn seo caite, 18 Bealtaine, Jerry Gamblin ó Kenna Security 1000 de na híomhánna is mó tóir ó Docker Hub bunaithe ar an bhfréamhfhocal faire a úsáideann siad. I 19% de na cásanna bhí sé folamh.
Cúlra le Alpach
Ba é an chúis a bhí leis an mionthaighde ná Tuarascáil Leochaileachta Talos a tháinig chun solais níos luaithe an mhí seo (), agus thuairiscigh na húdair - a bhuí le fionnachtain Peter Adkins ó Cisco Umbrella - nach bhfuil focal faire fréimhe ag íomhánna Docker a bhfuil an dáileadh coimeádán Alpach tóir orthu:
“Tá pasfhocal NULLComment don úsáideoir fréimhe i leaganacha oifigiúla d’íomhánna Alpach Linux Docker (ó v3.3). Bhí an leochaileacht seo mar thoradh ar chúlchéimniú a tugadh isteach i mí na Nollag 2015. Is é an brí atá leis seo ná go bhféadfaidh córais a imscartar le leaganacha fadhbacha de Alpach Linux i gcoimeádán agus a úsáideann Linux PAM nó meicníocht eile a úsáideann scáthchomhad an chórais mar bhunachar sonraí fíordheimhnithe glacadh le pasfhocal NULLComment don úsáideoir fréimhe.”
Ba iad na leaganacha d'íomhánna Docker le Alpach a tástáladh don fhadhb ná 3.3-3.9 san áireamh, chomh maith leis an scaoileadh is déanaí de Edge.
Rinne na húdair an moladh seo a leanas d’úsáideoirí lena mbaineann:
“Ní mór an bunchuntas a dhíchumasú go sainráite in íomhánna Docker tógtha ó leaganacha fadhbacha de Alpach. Braitheann saothrú dóchúil na leochaileachta ar an gcomhshaol, ós rud é go n-éilíonn a rath seirbhís nó feidhmchlár a sheoltar ar aghaidh go seachtrach ag baint úsáide as Linux PAM nó meicníocht eile dá samhail."
Bhí an fhadhb i leaganacha Alpacha 3.6.5, 3.7.3, 3.8.4, 3.9.2 agus edge (amharc 20190228), agus iarradh ar úinéirí na n-íomhánna lena mbaineann trácht a dhéanamh ar an líne leis an bhfréamh i /etc/shadow nó déan cinnte go bhfuil an pacáiste in easnamh linux-pam.
Leanadh ar aghaidh le Docker Hub
Chinn Jerry Gamblin a bheith fiosrach faoi “chomh coitianta is a d’fhéadfadh sé a bheith ag baint úsáide as pasfhocail neamhnithe i gcoimeádáin.” Chun na críche seo scríobh sé beag , a bhfuil bunúsacht an-simplí:
- trí iarratas curl chuig an API i Docker Hub, iarrtar liosta d'íomhánna Docker a óstáiltear ann;
- via jq tá sé curtha in eagar de réir réimse
popularity, agus ó na torthaí a fuarthas, an chéad mhíle fós; - do gach ceann acu comhlíonta
docker pull; - i gcás gach íomhá a fhaightear ó Docker Hub a fhorghníomhú
docker runleis an gcéad líne ón gcomhad a léamh/etc/shadow; - má tá luach na sreinge cothrom le
root:::0:::::, sábháltar ainm na híomhá i gcomhad ar leith.
Cad a tharla? IN Bhí 194 líne ann le hainmneacha íomhánna coitianta Docker le córais Linux, nach bhfuil sraith pasfhocal ag an úsáideoir fréimhe iontu:
“I measc na n-ainmneacha is cáiliúla ar an liosta seo bhí govuk/governmentpaas, hashicorp, microsoft, monsanto agus mesosphere. Agus is é kylemanna/openvpn an coimeádán is mó tóir ar an liosta, tá níos mó ná 10 milliún tarraingt san iomlán ag a staitisticí.”
Is fiú a thabhairt chun cuimhne, áfach, nach gciallaíonn an feiniméan seo ann féin leochaileacht dhíreach i slándáil na gcóras a úsáideann iad: braitheann sé ar fad ar conas go díreach a úsáidtear iad. (féach an trácht ón gcás Alpach thuas). Mar sin féin, tá “moráltacht an scéil” feicthe againn go minic: is minic go mbíonn míbhuntáiste ag baint le simplíocht dhealraitheach, nach mór a mheabhrú i gcónaí agus a n-iarmhairtí a chur san áireamh i do chásanna feidhmithe teicneolaíochta.
PS
Léigh freisin ar ár mblag:
- «";
- «";
- «";
- «'.
Foinse: will.com