先週の土曜日、18月XNUMX日、Kenna Securityのジェリー・ガンブリン氏
アルパインの背景
このミニ調査の理由は、今月初めに発表された Talos 脆弱性レポート (
「Alpine Linux Docker イメージの公式バージョン (v3.3 以降) には、root ユーザーの NULL パスワードが含まれています。 この脆弱性は、2015 年 XNUMX 月に報告された回帰の結果として出現しました。 その本質は、問題のあるバージョンの Alpine Linux をコンテナ内にデプロイし、Linux PAM または認証用のデータベースとしてシステム シャドウ ファイルを使用する別のメカニズムを使用しているシステムが、root ユーザーのヌル (NULL) パスワードを受け入れることができるという事実に要約されます。
この問題についてテストされた Alpine Docker イメージのバージョンは 3.3 ~ 3.9 と、Edge の最新リリースでした。
著者は影響を受けるユーザーに対して次の推奨事項を行いました。
「問題のあるバージョンの Alpine から構築された Docker イメージでは、root アカウントを明示的に無効にする必要があります。 この脆弱性が悪用される可能性は環境によって異なります。これを成功させるには、Linux PAM またはその他の同様のメカニズムを使用して外部に転送されるサービスまたはアプリケーションが必要となるためです。
問題は /etc/shadow
またはパッケージが不足していることを確認してください linux-pam
.
Docker Hubからの続き
Jerry Gamblin さんは、「コンテナ内で null パスワードを使用する習慣がどの程度一般的であるか」について調査することにしました。 これを行うために、彼は小さなことを書きました
- Docker Hub の API への CURL リクエストを通じて、そこでホストされている Docker イメージのリストがリクエストされます。
- jq経由でフィールドごとにソートします
popularity
、得られた結果から、最初の XNUMX が残ります。 - それぞれについて、
docker pull
; - Docker Hub から受信した各イメージに対して、
docker run
ファイルから最初の行を読み取る/etc/shadow
; - 文字列値が次の値に等しい場合
root:::0:::::
、画像名は別のファイルに保存されます。
どうしたの? の
「このリストに載っている最も有名な企業としては、govuk/governmentpaas、ハシコープ、マイクロソフト、モンサント、メソスフィアなどが挙げられます。 そして、kylemanna/openvpn はリストの中で最も人気のあるコンテナであり、10 万回以上のプルが行われています。」
ただし、この現象自体は、それらを使用するシステムのセキュリティに直接的な脆弱性があることを意味するものではないことを思い出してください。それはすべて、それらがどのように正確に使用されるかによって決まります。 (上記の Alpine のケースからのコメントを参照)。 ただし、「この話の教訓」はすでに何度も見てきました。見かけの単純さには多くの場合マイナス面があり、テクノロジを使用するシナリオではそのことを常に覚えておいて、その結果がどのような結果をもたらすかを考慮する必要があります。
PS
私たちのブログもお読みください:
- «
Docker Hub 上のイメージ内のベース オペレーティング システムの統計 "; - «
セキュリティが要求される環境における Docker と Kubernetes "; - «
runc に脆弱性 CVE-2019-5736 があり、ホスト上で root 権限を取得できる "; - «
脆弱な Docker VM - Docker と侵入テスト用のパズル仮想マシン '。
出所: habr.com