ืืฉืืช ืืืืจืื ื, 18 ืืืื, ื'ืจื ืืืืืื ื-Kenna Security
ืจืงืข ืขื ืืืคืื ื
ืืกืืื ืืืื ื-ืืืงืจ ืืืืชื ืืื ืืคืืืขืืช ืฉื Talos ืฉืืืคืืข ืืืงืื ืืืชืจ ืืืืืฉ (
"ืืจืกืืืช ืจืฉืืืืช ืฉื ืชืืื ืืช Alpine Linux Docker (ืืื ืืืจืกื 3.3) ืืืืืืช ืกืืกืื NULL ืขืืืจ ืืฉืชืืฉ ืืฉืืจืฉ. ืคืืืขืืช ืื ืืืคืืขื ืืชืืฆืื ืืจืืจืกืื ืฉืืืฆืื ืืืฆืืืจ 2015. ืืืืืช ืฉืื ืืกืชืืืช ืืขืืืื ืฉืืขืจืืืช ืืคืจืืกืืช ืขื ืืจืกืืืช ืืขืืืชืืืช ืฉื Alpine Linux ืืงืื ืืืื ืจ ืืืฉืชืืฉืืช ื-Linux PAM ืื ืื ืื ืื ืืืจ ืืืฉืชืืฉ ืืงืืืฅ ืฆื ืฉื ืืืขืจืืช ืืืกื ื ืชืื ืื ืืืืืืช ืืืืืืช ืืงืื ืกืืกืื null (NULL) ืขืืืจ ืืฉืชืืฉ ืืฉืืจืฉ.
ืืืจืกืืืช ืฉื ืชืืื ืืช Alpine Docker ืฉื ืืืงื ืืืขืื ืืื 3.3-3.9 ืืืื, ืืื ืื ืืืืืืจื ืืืืจืื ื ืฉื edge.
ืืืืืจืื ืืืืฉื ืืช ืืืืืฆื ืืืื ืืืฉืชืืฉืื ืืืืฉืคืขืื:
"ืืฉืืื ืืฉืืจืฉ ืืืื ืืืืืช ืืืฉืืช ืืืคืืจืฉ ืืชืืื ืืช Docker ืฉื ืื ื ืืืจืกืืืช ืืขืืืชืืืช ืฉื Alpine. ืื ืืฆืื ืืกืืืจ ืฉื ืืคืืืขืืช ืชืืื ืืกืืืื, ืฉืื ืืฆืืืชื ืืืืืืช ืฉืืจืืช ืื ืืืฉืื ืืืืขืืจืื ืืืฆืื ืืช ืืืืฆืขืืช Linux PAM ืื ืื ืื ืื ืืืื ืืืจ.
ืืืขืื ืืืืชื /etc/shadow
ืื ืืืืื ืฉืืืืืื ืืกืจื linux-pam
.
ืืืฉื ื- Docker Hub
ื'ืจื ืืืืืื ืืืืื ืืืจืจ ืขื "ืืื ื ืคืืฅ ืขืฉืื ืืืืืช ืื ืืื ืฉื ืฉืืืืฉ ืืกืืกืืืืช ืืคืกืืืช ืืงืื ืืืื ืจืื". ืืื ืืขืฉืืช ืืืช, ืืื ืืชื ืงืื
- ืืืืฆืขืืช ืืงืฉืช ืกืืกืื ื-API ื- Docker Hub, ืืชืืงืฉืช ืจืฉืืื ืฉื ืชืืื ืืช Docker ืืืชืืจืืืช ืฉื;
- ืืจื jq ืื ืืืืื ืืคื ืฉืื
popularity
, ืืืืชืืฆืืืช ืฉืืืฉืื, ื ืืชืจื ืืืฃ ืืจืืฉืื ืื; - ืืื ืืื ืืื,
docker pull
; - ืขืืืจ ืื ืชืืื ื ืฉืืชืงืืื ื- Docker Hub,
docker run
ืงืจืืืช ืฉืืจื ืจืืฉืื ื ืืืงืืืฅ/etc/shadow
; - ืื ืขืจื ืืืืจืืืช ืฉืืื ื
root:::0:::::
, ืฉื ืืชืืื ื ื ืฉืืจ ืืงืืืฅ ื ืคืจื.
ืื ืงืจื? IN
"ืืื ืืฉืืืช ืืืคืืจืกืืื ืืืืชืจ ืืจืฉืืื ืื ืืื govuk/governmentpaas, hashicorp, microsoft, monsanto ื-mesosphere. ื-kylemanna/openvpn ืืื ืืงืื ืืืื ืจ ืืคืืคืืืจื ืืืืชืจ ืืจืฉืืื, ืขื ืืืขืื ื-10 ืืืืืื ืืฉืืื."
ืขื ืืืช, ืืืื ืืืืืจ ืฉืชืืคืขื ืื ืืฉืืขืฆืื ืืื ืคืืจืืฉื ืคืืืขืืช ืืฉืืจื ืืืืืืช ืืืขืจืืืช ืฉืืฉืชืืฉืืช ืืื: ืืื ืชืืื ืืื ืืืืืง ื ืขืฉื ืืื ืฉืืืืฉ. (ืจืื ืชืืืื ืืืงืจื ืืืคืืื ืืืขืื). ืขื ืืืช, ืืืจ ืจืืื ื ืืช "ืืืืกืจ ืฉื ืืกืืคืืจ ืืื" ืคืขืืื ืจืืืช: ืืคืฉืืืช ืืืืืจื ืืฉ ืืจืื ืืกืจืื, ืฉืืืื ืชืืื ืืืืืจ ืืืงืืช ืืืฉืืื ืืช ืืืฉืืืืช ืฉืื ืืชืจืืืฉืื ืฉืื ืขื ืืฉืืืืฉ ืืืื ืืืืืื.
ื .ื.
ืงืจื ืื ืืืืื ืฉืื ื:
- ยซ
ื ืชืื ืื ืกืืืืกืืืื ืขื ืืขืจืืืช ืืคืขืื ืืกืืกืืืช ืืชืืื ืืช ื- Docker Hub "; - ยซ
Docker ื-Kubernetes ืืกืืืืืช ืชืืืขื ืืืช ืืืืื "; - ยซ
ืคืืืขืืช CVE-2019-5736 ื-runc, ืืืืคืฉืจืช ืืืฉืื ืืืืืืช ืืกืืก ืขื ืืืืจื "; - ยซ
Vulnerable Docker VM - ืืืื ืช ืืืื ืืืจืืืืืืช ืขืืืจ Docker ื-pentesting ".
ืืงืืจ: www.habr.com