Disathairne mu dheireadh, 18 Cèitean, Jerry Gamblin bho Kenna Security Na 1000 dealbh as mòr-chòrdte bho Docker Hub leis am facal-faire a bhios iad a ’cleachdadh airson an neach-cleachdaidh freumh. Ann an 19% de chùisean thionndaidh e a-mach gu robh e falamh.
Cùl-fhiosrachadh le Alpach
B’ e an adhbhar airson a’ mhion-sgrùdadh Aithisg So-leòntachd Talos a nochd na bu thràithe sa mhìos seo ().
“Tha dreachan oifigeil de dhealbhan Alpine Linux Docker (a’ tòiseachadh bho v3.3) a’ toirt a-steach facal-faire NULL airson an neach-cleachdaidh freumh. Nochd an so-leòntachd seo mar thoradh air ais-tharraing a chaidh a thaisbeanadh san Dùbhlachd 2015. Tha a bhrìgh a’ ciallachadh gum faod siostaman a tha air an cleachdadh le dreachan trioblaideach de Alpine Linux ann an soitheach agus a’ cleachdadh Linux PAM no inneal eile a chleachdas faidhle sgàil an t-siostaim mar stòr-dàta airson dearbhadh gabhail ri facal-faire null (NULL) airson an neach-cleachdaidh freumha.
Bha na dreachan de dhealbhan Alpine Docker a chaidh a dhearbhadh airson an duilgheadas 3.3-3.9 in-ghabhalach, a bharrachd air an sgaoileadh as ùire de edge.
Rinn na h-ùghdaran am moladh a leanas do luchd-cleachdaidh air an robh buaidh:
“Feumaidh an cunntas freumh a bhith air a chiorramachadh gu sònraichte ann an ìomhaighean Docker a chaidh a thogail bho dhreachan trioblaideach de Alpach. Tha an cleachdadh a dh’ fhaodadh a bhith so-leòntachd an urra ris an àrainneachd, leis gu bheil a shoirbheachadh a’ feumachdainn seirbheis no tagradh air a chuir air adhart bhon taobh a-muigh a’ cleachdadh Linux PAM no inneal eile den aon seòrsa.
Bha an duilgheadas ann an dreachan Alpach 3.6.5, 3.7.3, 3.8.4, 3.9.2 agus edge (dealbh 20190228), agus chaidh iarraidh air luchd-seilbh dhealbhan air an robh buaidh beachd a thoirt air an loidhne le freumh ann an /etc/shadow no dèan cinnteach gu bheil am pasgan a dhìth linux-pam.
A’ leantainn bho Docker Hub
Cho-dhùin Jerry Gamblin faighneachd mu “cho cumanta sa dh’ fhaodadh cleachdadh faclan-faire null ann an soithichean a bhith. ” Gus seo a dhèanamh, sgrìobh e beag , aig a bheil brìgh gu math sìmplidh:
- tro iarrtas curl chun API ann an Docker Hub, thathar ag iarraidh liosta de dhealbhan Docker air an cumail an sin;
- via jq bidh e ga sheòrsachadh a rèir raon
popularity, agus o na toraidhean a fhuaradh, tha a' cheud mhìle air fhàgail ; - do gach aon diubh,
docker pull; - airson gach dealbh a gheibhear bho Docker Hub,
docker runa 'leughadh a' chiad loidhne bhon fhaidhle/etc/shadow; - ma tha luach an t-sreang co-ionann ri
root:::0:::::, tha ainm an deilbh air a shàbhaladh gu faidhle air leth.
Dè a thachair? ANNS bha loidhnichean 194 ann le ainmean ìomhaighean Docker mòr-chòrdte le siostaman Linux, anns nach eil seata facal-faire aig an neach-cleachdaidh freumh:
“Am measg nan ainmean as ainmeil air an liosta seo bha govuk/governmentpaas, hashicorp, microsoft, monsanto agus mesosphere. Agus is e kylemanna/openvpn an soitheach as mòr-chòrdte air an liosta, le còrr air 10 millean tarraing.”
Ach, is fhiach cuimhneachadh nach eil an iongantas seo ann fhèin a ’ciallachadh so-leòntachd dìreach ann an tèarainteachd nan siostaman a bhios gan cleachdadh: tha e uile an urra ri dìreach mar a bhios iad gan cleachdadh. (faic am beachd bhon chùis Alpach gu h-àrd). Ach, tha sinn mar-thà air “moralta na sgeòil seo” fhaicinn iomadh uair: gu tric tha eas-bhuannachdan aig sìmplidheachd follaiseach, air am bu chòir dhut cuimhneachadh an-còmhnaidh agus aire a thoirt don bhuaidh a tha aig na suidheachaidhean agad airson cleachdadh teicneòlais.
PS
Leugh cuideachd air ar blog:
- «";
- «";
- «";
- «".
Source: www.habr.com