Hnub Saturday dhau los, Tsib Hlis 18, Jerry Gamblin ntawm Kenna Security 1000 ntawm cov duab nrov tshaj plaws los ntawm Docker Hub raws li tus password hauv paus lawv siv. Hauv 19% ntawm cov neeg mob nws yog khoob.
Keeb kwm nrog Alpine
Yog vim li cas rau qhov kev tshawb fawb me me yog Talos Vulnerability Report uas tau tshwm sim ua ntej lub hli no (), cov kws sau ntawv uas - ua tsaug rau qhov kev tshawb pom ntawm Peter Adkins los ntawm Cisco Umbrella - tau tshaj tawm tias Docker cov duab nrog lub npe nrov Alpine ntim tsis muaj lo lus zais hauv paus:
"Cov ntawv tshaj tawm ntawm Alpine Linux Docker cov duab (txij li v3.3) muaj NULL lo lus zais rau cov neeg siv hauv paus. Qhov kev tsis zoo no tau tshwm sim los ntawm qhov kev hloov pauv tau pib thaum Lub Kaum Ob Hlis 2015. Lub ntsiab lus ntawm qhov no yog tias cov tshuab siv nrog cov teeb meem versions ntawm Alpine Linux hauv lub thawv thiab siv Linux PAM lossis lwm lub tswv yim uas siv cov ntaub ntawv duab ntxoov ntxoo hauv cov ntaub ntawv pov thawj tuaj yeem lees txais NULL lo lus zais rau cov neeg siv hauv paus. "
Cov versions ntawm Docker dluab nrog Alpine kuaj rau qhov teeb meem yog 3.3β3.9 suav nrog, nrog rau qhov tseeb tso tawm ntawm ntug.
Cov kws sau ntawv tau pom zoo hauv qab no rau cov neeg siv cuam tshuam:
"Lub hauv paus tus account yuav tsum tau ua tsis tiav hauv Docker cov duab tsim los ntawm cov teeb meem versions ntawm Alpine. Qhov yuav raug siv los ntawm qhov tsis zoo yog nyob ntawm ib puag ncig, vim tias nws txoj kev vam meej yuav tsum muaj kev pabcuam xa mus lossis daim ntawv thov siv Linux PAM lossis lwm yam zoo sib xws. "
Qhov teeb meem yog hauv Alpine versions 3.6.5, 3.7.3, 3.8.4, 3.9.2 thiab ntug (20190228 snapshot), thiab cov tswv ntawm cov duab cuam tshuam tau hais kom tawm tswv yim tawm kab nrog hauv paus hauv /etc/shadow los yog xyuas kom meej tias lub pob ploj lawm linux-pam.
Txuas ntxiv nrog Docker Hub
Jerry Gamblin tau txiav txim siab xav paub txog "kev coj ua zoo li cas ntawm kev siv cov passwords null hauv cov thawv yuav yog." Rau lub hom phiaj no nws sau me me , lub essence ntawm uas yog heev yooj yim:
- los ntawm kev thov curl rau API hauv Docker Hub, cov npe ntawm Docker dluab tuav tau thov;
- ntawm jq nws yog txheeb los ntawm teb
popularity, thiab los ntawm cov txiaj ntsig tau, thawj txhiab tus tseem nyob; - rau txhua tus ntawm lawv nws ua tiav
docker pull; - rau txhua daim duab tau txais los ntawm Docker Hub raug tua
docker runnrog kev nyeem thawj kab ntawm cov ntaub ntawv/etc/shadow; - yog tias tus nqi ntawm txoj hlua sib npaug
root:::0:::::, lub npe ntawm daim duab tau txais kev cawmdim nyob rau hauv ib tug nyias muaj nyias cov ntaub ntawv.
Dab tsi tshwm sim? IN Muaj 194 kab nrog cov npe nrov Docker dluab nrog Linux systems, uas tus neeg siv hauv paus tsis muaj lo lus zais:
"Ntawm cov npe nrov tshaj plaws ntawm cov npe no yog govuk / tsoom fwvpaas, hashicorp, microsoft, monsanto thiab mesosphere. Thiab kylemanna / openvpn yog lub thawv nrov tshaj plaws ntawm daim ntawv teev npe, nws cov txheeb cais tag nrho ntau dua 10 lab rub. "
Nws yog ib qho tsim nyog yuav tsum nco ntsoov, txawm li cas los xij, qhov tshwm sim ntawm nws tus kheej tsis txhais hais tias muaj kev cuam tshuam ncaj qha hauv kev ruaj ntseg ntawm cov tshuab uas siv lawv: txhua yam nyob ntawm seb lawv siv raws nraim li cas. (saib cov lus los ntawm cov ntaub ntawv Alpine saum toj no). Txawm li cas los xij, peb tau pom "kev coj ncaj ncees ntawm zaj dab neeg" ntau zaus: qhov yooj yim pom tseeb feem ntau muaj qhov tsis zoo, uas yuav tsum nco ntsoov nco ntsoov thiab cov txiaj ntsig uas tau coj mus rau hauv tus account hauv koj qhov kev thov thev naus laus zis scenarios.
PS
Nyeem kuj ntawm peb blog:
- «»;
- «»;
- «»;
- Β«".
Tau qhov twg los: www.hab.com