अप्रकाशित कमजोरियों की पहचान करने और पृथक डॉकर कंटेनर छवियों में सुरक्षा समस्याओं की पहचान करने के लिए परीक्षण उपकरणों के परिणाम। ऑडिट से पता चला कि 4 ज्ञात डॉकर छवि स्कैनर में से 6 में महत्वपूर्ण कमजोरियां थीं, जिससे स्कैनर पर सीधे हमला करना और सिस्टम पर अपने कोड का निष्पादन करना संभव हो गया, कुछ मामलों में (उदाहरण के लिए, Snyk का उपयोग करते समय) रूट अधिकारों के साथ।
हमला करने के लिए, एक हमलावर को बस अपने डॉकरफाइल या मेनिफेस्ट.जेसन की जांच शुरू करने की आवश्यकता होती है, जिसमें विशेष रूप से डिज़ाइन किया गया मेटाडेटा शामिल होता है, या छवि के अंदर पॉडफाइल और ग्रेडलेव फ़ाइलों को रखना होता है। प्रोटोटाइप का शोषण करें सिस्टम के लिए
, ,
и
. पैकेज में सर्वोत्तम सुरक्षा दिखाई गई , मूल रूप से सुरक्षा को ध्यान में रखकर लिखा गया है। पैकेज में भी कोई समस्या सामने नहीं आई। . परिणामस्वरूप, यह निष्कर्ष निकाला गया कि डॉकर कंटेनर स्कैनर को अलग-थलग वातावरण में चलाया जाना चाहिए या केवल अपनी छवियों की जांच करने के लिए उपयोग किया जाना चाहिए, और ऐसे उपकरणों को स्वचालित निरंतर एकीकरण प्रणालियों से जोड़ते समय सावधानी बरती जानी चाहिए।
FOSSA, Snyk और WhiteSource में, भेद्यता निर्भरता निर्धारित करने के लिए बाहरी पैकेज मैनेजर को कॉल करने से जुड़ी थी और आपको फ़ाइलों में टच और सिस्टम कमांड निर्दिष्ट करके अपने कोड के निष्पादन को व्यवस्थित करने की अनुमति देती थी। и .
Snyk और WhiteSource के पास भी था , Dockerfile को पार्स करते समय सिस्टम कमांड लॉन्च करने के संगठन के साथ (उदाहरण के लिए, Snyk में, Dockefile के माध्यम से, स्कैनर द्वारा कॉल की गई /bin/ls उपयोगिता को बदलना संभव था, और WhiteSurce में, तर्कों के माध्यम से कोड को प्रतिस्थापित करना संभव था) प्रपत्र “इको ';स्पर्श /tmp/hacked_whitesource_pip;=1.0 ′")।
एंकर भेद्यता उपयोगिता का उपयोग करना डोकर छवियों के साथ काम करने के लिए। मैनिफ़ेस्ट.जेसन फ़ाइल में ''ओएस'': ''$(टच हैक्ड_एंचोर)'' जैसे पैरामीटर जोड़ने तक ऑपरेशन सीमित हो गया, जिन्हें उचित एस्केपिंग के बिना स्कोपियो को कॉल करते समय प्रतिस्थापित किया जाता है (केवल ";&<>" अक्षर काट दिए गए थे, लेकिन निर्माण "$( )").
उसी लेखक ने डॉकर कंटेनर सुरक्षा स्कैनर और झूठी सकारात्मकता के स्तर का उपयोग करके अप्रकाशित कमजोरियों की पहचान करने की प्रभावशीलता का अध्ययन किया (, , ). ज्ञात कमजोरियों वाली 73 छवियों के परीक्षण के परिणाम नीचे दिए गए हैं, और छवियों (एनजीएनएक्स, टॉमकैट, हैप्रोक्सी, गुनिकॉर्न, रेडिस, रूबी, नोड) में विशिष्ट अनुप्रयोगों की उपस्थिति का निर्धारण करने की प्रभावशीलता का भी मूल्यांकन करते हैं।
स्रोत: opennet.ru