先週の土曜日、18月XNUMX日、Kenna Securityのジェリー・ガンブリン氏 Docker Hub の最も人気のある 1000 個のイメージ (root ユーザーに使用されるパスワード別)。 19% のケースでは空であることが判明しました。
アルパインの背景
このミニ調査の理由は、今月初めに発表された Talos 脆弱性レポート ()、その作成者は、Cisco Umbrella の Peter Adkins 氏の発見のおかげで、人気のある Alpine コンテナ ディストリビューションの Docker イメージには root パスワードがないことを報告しました。
「Alpine Linux Docker イメージの公式バージョン (v3.3 以降) には、root ユーザーの NULL パスワードが含まれています。 この脆弱性は、2015 年 XNUMX 月に報告された回帰の結果として出現しました。 その本質は、問題のあるバージョンの Alpine Linux をコンテナ内にデプロイし、Linux PAM または認証用のデータベースとしてシステム シャドウ ファイルを使用する別のメカニズムを使用しているシステムが、root ユーザーのヌル (NULL) パスワードを受け入れることができるという事実に要約されます。
この問題についてテストされた Alpine Docker イメージのバージョンは 3.3 ~ 3.9 と、Edge の最新リリースでした。
著者は影響を受けるユーザーに対して次の推奨事項を行いました。
「問題のあるバージョンの Alpine から構築された Docker イメージでは、root アカウントを明示的に無効にする必要があります。 この脆弱性が悪用される可能性は環境によって異なります。これを成功させるには、Linux PAM またはその他の同様のメカニズムを使用して外部に転送されるサービスまたはアプリケーションが必要となるためです。
問題は Alpine バージョン 3.6.5、3.7.3、3.8.4、3.9.2、および Edge (20190228 スナップショット) では、影響を受けるイメージの所有者は、root を使用して行をコメントアウトするように求められました。 /etc/shadow またはパッケージが不足していることを確認してください linux-pam.
Docker Hubからの続き
Jerry Gamblin さんは、「コンテナ内で null パスワードを使用する習慣がどの程度一般的であるか」について調査することにしました。 これを行うために、彼は小さなことを書きました 、その本質は非常に単純です。
- Docker Hub の API への CURL リクエストを通じて、そこでホストされている Docker イメージのリストがリクエストされます。
- jq経由でフィールドごとにソートします
popularity、得られた結果から、最初の XNUMX が残ります。 - それぞれについて、
docker pull; - Docker Hub から受信した各イメージに対して、
docker runファイルから最初の行を読み取る/etc/shadow; - 文字列値が次の値に等しい場合
root:::0:::::、画像名は別のファイルに保存されます。
どうしたの? の Linux システムで一般的な Docker イメージの名前が含まれる行が 194 行あり、root ユーザーにはパスワードが設定されていません。
「このリストに載っている最も有名な企業としては、govuk/governmentpaas、ハシコープ、マイクロソフト、モンサント、メソスフィアなどが挙げられます。 そして、kylemanna/openvpn はリストの中で最も人気のあるコンテナであり、10 万回以上のプルが行われています。」
ただし、この現象自体は、それらを使用するシステムのセキュリティに直接的な脆弱性があることを意味するものではないことを思い出してください。それはすべて、それらがどのように正確に使用されるかによって決まります。 (上記の Alpine のケースからのコメントを参照)。 ただし、「この話の教訓」はすでに何度も見てきました。見かけの単純さには多くの場合マイナス面があり、テクノロジを使用するシナリオではそのことを常に覚えておいて、その結果がどのような結果をもたらすかを考慮する必要があります。
PS
私たちのブログもお読みください:
- «";
- «";
- «";
- «'。
出所: habr.com