19% nke onyonyo Docker kacha elu enweghị paswọọdụ mgbọrọgwụ

Satọde gara aga, Mee 18, Jerry Gamblin nke Kenna Security enyochara Ihe onyonyo 1000 kacha ewu ewu sitere na Docker Hub site na paswọọdụ ha na-eji maka onye ọrụ mgbọrọgwụ. N'ime 19% nke ikpe ọ tụgharịrị bụrụ ihe efu.

Okirikiri nwere Alpine

Ihe kpatara obere ọmụmụ ihe ahụ bụ akụkọ Talos Vulnerability Report nke pụtara na mbido ọnwa a (TALOS-2019-0782), ndị dere ya - ekele maka nchọpụta nke Peter Adkins sitere na Cisco Umbrella - kọrọ na ihe oyiyi Docker na nkesa Alpine na-ewu ewu enweghị mgbọrọgwụ paswọọdụ:

“Ụdị ọrụ gọọmentị nke onyonyo Alpine Linux Docker (bido na v3.3) nwere paswọọdụ NULL maka onye ọrụ mgbọrọgwụ. Nke a adịghị ike pụtara n'ihi nlọghachi azụ ewepụtara na Disemba 2015. Ihe kachasị mkpa ya gbadara n'eziokwu ahụ bụ na sistemụ etinyere na ụdị nsogbu Alpine Linux n'ime akpa yana iji Linux PAM ma ọ bụ usoro ọzọ na-eji faịlụ onyinyo sistemụ dị ka nchekwa data maka nyocha nwere ike ịnakwere paswọọdụ efu (NULL) maka onye ọrụ mgbọrọgwụ.

Ụdị ihe oyiyi Alpine Docker anwalela maka nsogbu ahụ bụ 3.3-3.9 gụnyere, yana ntọhapụ kachasị ọhụrụ.

Ndị odee nyere ndụmọdụ ndị a maka ndị ọrụ metụtara:

"A ghaghị gbanyụọ akaụntụ mgbọrọgwụ nke ọma na foto Docker nke e wuru site na nsụgharị Alpine nwere nsogbu. O yikarịrị ka nrigbu adịghị ike na-adabere na gburugburu ebe obibi, ebe ọ bụ na ihe ịga nke ọma ya chọrọ ọrụ ma ọ bụ ngwa ebugharị site na iji Linux PAM ma ọ bụ usoro ndị ọzọ yiri ya.

Nsogbu bụ kpochapuru na ụdị Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 na Edge (20190228 snapshot), a gwara ndị nwe onyonyo emetụtara ka ha kwupụta ahịrị nwere mgbọrọgwụ. /etc/shadow ma ọ bụ hụ na ngwugwu adịghị linux-pam.

Gaa n'ihu na Docker Hub

Jerry Gamblin kpebiri ịjụ maka "otu esi emekarị iji okwuntughe efu n'ime akpa nwere ike bụrụ." Iji mee nke a, o dere ntakịrị edemede bash, isi okwu ya dị nnọọ mfe:

• site na arịrịọ curl na API na Docker Hub, a na-arịọ ndepụta nke onyonyo Docker akwadoro ebe ahụ;
• site jq ọ na-ahazi site na ubi popularity, na site na nsonaazụ enwetara, puku mbụ fọdụrụ;
• maka onye ọ bụla n'ime ha, docker pull;
• maka onyonyo ọ bụla enwetara site na Docker Hub, docker run na-agụ ahịrị mbụ site na faịlụ /etc/shadow;
• ọ bụrụ na uru eriri ahụ hà nhata root:::0:::::, echekwara aha onyonyo na faịlụ dị iche.

Kedu ihe mere? N'ime faịlụ a enwere ahịrị 194 nwere aha onyonyo Docker a ma ama na sistemụ Linux, nke onye ọrụ mgbọrọgwụ enweghị ntọala paswọọdụ:

“N'ime aha ndị a ma ama na ndepụta a bụ govuk/governmentpaas, hashicorp, microsoft, monsanto na mesosphere. Na kylemanna/openvpn bụ akpa kachasị ewu ewu na ndepụta ahụ, nke nwere ihe karịrị nde iri."

Otú ọ dị, ọ bara uru icheta na ihe a na-eme n'onwe ya apụtaghị na adịghị ike kpọmkwem na nchekwa nke usoro ndị na-eji ha eme ihe: ihe niile dabere na otu esi eji ha eme ihe. (lee okwu sitere na ikpe Alpine dị n'elu). Otú ọ dị, anyị ahụworị "omume nke akụkọ a" ọtụtụ ugboro: ịdị mfe doro anya na-enwekarị ala, nke ị kwesịrị icheta mgbe niile ma buru n'uche ihe ga-esi na ya pụta na ọnọdụ gị maka iji teknụzụ.

PS

Gụọkwa na blọọgụ anyị:

• «Ọnụọgụ na sistemụ arụmọrụ ntọala na onyonyo dị na Docker Hub»;
• «Docker na Kubernetes na gburugburu ebe nchekwa chọrọ»;
• «Ihe ọghọm CVE-2019-5736 na runc, na-enye ohere ịnweta ikike mgbọrọgwụ na onye ọbịa.»;
• «Docker VM adịghị ike - igwe mebere egwuregwu mgbagwoju anya maka Docker na pentesting".

isi: www.habr.com