Լավագույն 19.4 Docker կոնտեյներների 1000%-ը պարունակում է դատարկ արմատային գաղտնաբառ

Ջերի Գեմբլինը որոշել է պարզել, թե որքանով է տարածված նոր բացահայտվածը խնդիրը Alpine բաշխման Docker պատկերներում, որոնք կապված են արմատային օգտվողի համար դատարկ գաղտնաբառի նշելու հետ: Docker Hub կատալոգի հազարավոր ամենահայտնի բեռնարկղերի վերլուծություն ցույց տվեցորին 194 դրանցից (19.4%) առանց հաշիվը կողպելու root-ի համար սահմանված է դատարկ գաղտնաբառ («root:::0:::::» փոխարեն «root:!::0:::::»):

Եթե ​​կոնտեյները օգտագործում է ստվերային և linux-pam փաթեթները, օգտագործեք դատարկ արմատային գաղտնաբառը թույլ է տալիս ընդլայնեք ձեր արտոնությունները կոնտեյների ներսում, եթե ունեք անարտոնյալ մուտք դեպի կոնտեյներ կամ բեռնարկղում աշխատող ոչ արտոնյալ ծառայության խոցելիությունը օգտագործելուց հետո: Դուք կարող եք նաև միանալ կոնտեյներին արմատային իրավունքներով, եթե մուտք ունեք ենթակառուցվածք, այսինքն. /etc/securetty ցուցակում նշված TTY-ին տերմինալով միանալու հնարավորություն: Դատարկ գաղտնաբառով մուտքն արգելափակված է SSH-ի միջոցով:

Ամենահայտնի շրջանում բեռնարկղեր դատարկ արմատային գաղտնաբառով են microsoft/azure-cli, kylemanna/openvpn, governmentpaas/s3-resource, phpmyadmin/phpmyadmin, mesosphere/aws-cli и hashicorp/terraform, որոնք ունեն ավելի քան 10 միլիոն ներբեռնումներ: Կարևորվում են նաև բեռնարկղերը
govuk/gemstash-alpine (500 հազ.), monsantoco/logstash (5 միլիոն),
avhost/docker-matrix-riot (1 միլիոն),
azuresdk/azure-cli-python (5 մլն.)
и ciscocloud/haproxy-consul (1 միլիոն). Գրեթե բոլոր այս բեռնարկղերը հիմնված են Alpine-ի վրա և չեն օգտագործում ստվերային և linux-pam փաթեթները: Միակ բացառությունը Debian-ի վրա հիմնված microsoft/azure-cli-ն է:

Source: opennet.ru