19% nan pi gwo imaj Docker yo pa gen yon modpas rasin

Samdi pase 18 me, Jerry Gamblin nan Kenna Security tcheke 1000 imaj ki pi popilè nan Docker Hub pa modpas yo itilize pou itilizatè rasin lan. Nan 19% nan ka li te tounen soti yo dwe vid.

Jan nou koumanse ak Alpine

Rezon ki fè mini-etid la se Rapò Vulnerabilite Talos ki te parèt pi bonè mwa sa a (TALOS-2019-0782), otè yo - gras a dekouvèt Peter Adkins soti nan Cisco Umbrella - rapòte ke imaj Docker ak distribisyon veso popilè Alpine pa gen yon modpas rasin:

"Vèsyon ofisyèl imaj Alpine Linux Docker (kòmanse soti nan v3.3) gen yon modpas NULL pou itilizatè rasin lan. Vilnerabilite sa a te parèt kòm konsekans yon regression ki te prezante an Desanm 2015. Sans li se nan lefèt ke sistèm deplwaye ak vèsyon pwoblèm nan Alpine Linux nan yon veso ak lè l sèvi avèk Linux PAM oswa yon lòt mekanis ki sèvi ak dosye a lonbraj sistèm kòm yon baz done pou otantifikasyon ka aksepte yon modpas nil (NULL) pou itilizatè a rasin.

Vèsyon yo nan imaj Alpine Docker teste pou pwoblèm nan te 3.3-3.9 enklizif, osi byen ke dènye lage nan kwen.

Otè yo te fè rekòmandasyon sa a bay itilizatè ki afekte yo:

"Kont rasin lan dwe klèman enfim nan imaj Docker ki te bati nan vèsyon pwoblèm Alpine. Pwobableman eksplwatasyon vilnerabilite a depann sou anviwònman an, depi siksè li mande pou yon sèvis ekstèn voye oswa aplikasyon lè l sèvi avèk Linux PAM oswa lòt mekanis menm jan an.

Pwoblèm lan te genyen elimine nan vèsyon Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 ak kwen (20190228 snapshot), ak pwopriyetè imaj ki afekte yo te mande yo fè kòmantè sou liy lan ak rasin nan. /etc/shadow oswa asire w ke pake a manke linux-pam.

Kontinye soti nan Docker Hub

Jerry Gamblin deside mande enfòmasyon sou "ki jan komen pratik pou itilize modpas nil nan resipyan yo ta ka." Pou fè sa, li te ekri yon ti bash script, sans nan ki trè senp:

• atravè yon demann boukl nan API a nan Docker Hub, yo mande yon lis imaj Docker ki akomode la;
• via jq li triye pa jaden popularity, ak nan rezilta yo jwenn, premye mil yo rete;
• pou chak nan yo, docker pull;
• pou chak imaj resevwa nan Docker Hub, docker run lekti premye liy nan dosye a /etc/shadow;
• si valè fisèl la egal a root:::0:::::, non imaj la sove nan yon dosye separe.

sak pase? NAN dosye sa a te gen 194 liy ak non imaj Docker popilè ak sistèm Linux, kote itilizatè rasin lan pa gen yon modpas mete:

“Pami non ki pi popilè nan lis sa a te genyen govuk/governmentpaas, hashicorp, microsoft, monsanto ak mesosphere. Epi kylemanna/openvpn se veso ki pi popilè sou lis la, ak plis pase 10 milyon rale.”

Sepandan, li vo sonje ke fenomèn sa a nan tèt li pa vle di yon vilnerabilite dirèk nan sekirite nan sistèm yo ki sèvi ak yo: li tout depann sou ki jan egzakteman yo itilize yo. (gade kòmantè nan ka Alpine pi wo a). Sepandan, nou te deja wè "moral la nan istwa sa a" anpil fwa: senplisite aparan souvan gen yon inconvénient, ki ou ta dwe toujou sonje ak pran an kont konsekans yo nan ki nan senaryo ou pou itilize teknoloji.

PS

Li tou sou blog nou an:

• «Estatistik sou sistèm opere baz nan imaj sou Docker Hub";
• «Docker ak Kubernetes nan anviwònman ki mande sekirite";
• «Vilnerabilite CVE-2019-5736 nan runc, ki pèmèt jwenn dwa rasin sou lame a";
• «Vilnerab Docker VM - yon machin vityèl devinèt pou Docker ak pentesting'.

Sous: www.habr.com