ProHoster > blog > berita internet > 19.4% dari 1000 container Docker teratas berisi kata sandi root yang kosong
19.4% dari 1000 container Docker teratas berisi kata sandi root yang kosong
Jerry Gamblin memutuskan untuk mencari tahu seberapa luas penyebaran yang baru diidentifikasi masalah dalam gambar Docker dari distribusi Alpine, terkait dengan penentuan kata sandi kosong untuk pengguna root. Analisis ribuan container terpopuler dari katalog Docker Hub ditampilkan, apa di 194 dari jumlah tersebut (19.4%) kata sandi kosong ditetapkan untuk root tanpa mengunci akun (βroot:::0:::::β alih-alih βroot:!::0::::::β).
Jika container menggunakan paket shadow dan linux-pam, gunakan kata sandi root yang kosong memungkinkan tingkatkan hak istimewa Anda di dalam penampung jika Anda memiliki akses tanpa hak istimewa ke penampung atau setelah mengeksploitasi kerentanan dalam layanan tanpa hak istimewa yang berjalan di penampung. Anda juga dapat terhubung ke wadah dengan hak root jika Anda memiliki akses ke infrastruktur, mis. kemampuan untuk terhubung melalui terminal ke TTY yang ditentukan dalam daftar /etc/securetty. Login dengan kata sandi kosong diblokir melalui SSH.