hasil dari alat pengujian untuk mengidentifikasi kerentanan yang belum ditambal dan mengidentifikasi masalah keamanan pada image container Docker yang terisolasi. Audit menunjukkan bahwa 4 dari 6 pemindai gambar Docker yang diketahui mengandung kerentanan kritis yang memungkinkan untuk menyerang pemindai itu sendiri secara langsung dan mencapai eksekusi kodenya pada sistem, dalam beberapa kasus (misalnya, saat menggunakan Snyk) dengan hak root.
Untuk menyerang, penyerang hanya perlu melakukan pemeriksaan pada Dockerfile atau manifest.json miliknya, yang menyertakan metadata yang dirancang khusus, atau menempatkan file Podfile dan gradlew di dalam image. Memanfaatkan prototipe untuk sistem
, ,
ΠΈ
. Paket tersebut menunjukkan keamanan terbaik , aslinya ditulis dengan mempertimbangkan keamanan. Tidak ada masalah yang teridentifikasi dalam paket juga. . Hasilnya, disimpulkan bahwa pemindai container Docker harus dijalankan di lingkungan yang terisolasi atau hanya digunakan untuk memeriksa image mereka sendiri, dan kehati-hatian harus dilakukan saat menghubungkan alat tersebut ke sistem integrasi berkelanjutan otomatis.
Di FOSSA, Snyk dan WhiteSource, kerentanan dikaitkan dengan pemanggilan manajer paket eksternal untuk menentukan dependensi dan memungkinkan Anda mengatur eksekusi kode Anda dengan menentukan perintah sentuh dan sistem dalam file ΠΈ .
Snyk dan WhiteSource juga punya , dengan organisasi peluncuran perintah sistem saat mengurai Dockerfile (misalnya, di Snyk, melalui Dockefile, dimungkinkan untuk mengganti utilitas /bin/ls yang dipanggil oleh pemindai, dan di WhiteSurce, dimungkinkan untuk mengganti kode melalui argumen di bentuk βecho ';sentuh /tmp/hacked_whitesource_pip;=1.0β²").
Kerentanan jangkar menggunakan utilitas untuk bekerja dengan gambar buruh pelabuhan. Operasi diringkas untuk menambahkan parameter seperti '"os": "$(touch hacked_anchore)"' ke file manifest.json, yang diganti saat memanggil skopeo tanpa pelolosan yang tepat (hanya karakter ";&<>" yang terpotong, tetapi konstruksi "$( )").
Penulis yang sama melakukan studi tentang efektivitas mengidentifikasi kerentanan yang belum ditambal menggunakan pemindai keamanan kontainer Docker dan tingkat positif palsu (, , ). Di bawah ini adalah hasil pengujian 73 gambar yang mengandung kerentanan yang diketahui, dan juga mengevaluasi efektivitas menentukan keberadaan aplikasi khas dalam gambar (nginx, Tomcat, haproxy, gunicorn, redis, ruby, node).
Sumber: opennet.ru