asil saka alat testing kanggo ngenali kerentanan unpatched lan ngenali masalah keamanan ing gambar wadhah Docker terisolasi. Audit kasebut nuduhake yen 4 saka 6 scanner gambar Docker sing dikenal ngemot kerentanan kritis sing bisa nyerang scanner kasebut kanthi langsung lan entuk eksekusi kode ing sistem kasebut, ing sawetara kasus (contone, nalika nggunakake Snyk) kanthi hak ROOT.
Kanggo nyerang, panyerang mung kudu miwiti mriksa Dockerfile utawa manifest.json, sing kalebu metadata sing dirancang khusus, utawa nyelehake file Podfile lan gradlew ing gambar kasebut. Eksploitasi prototipe kanggo sistem
, ,
ΠΈ
. Paket kasebut nuduhake keamanan paling apik , Originally ditulis karo keamanan ing pikiran. Ora ana masalah sing diidentifikasi ing paket kasebut. . AkibatΓ©, disimpulake manawa pemindai wadhah Docker kudu ditindakake ing lingkungan sing terpencil utawa mung digunakake kanggo mriksa gambar dhewe, lan kudu ati-ati nalika nyambungake alat kasebut menyang sistem integrasi terus-terusan otomatis.
Ing FOSSA, Snyk lan WhiteSource, kerentanan digandhengake karo nelpon manajer paket eksternal kanggo nemtokake dependensi lan ngidini sampeyan ngatur eksekusi kode kanthi nemtokake perintah tutul lan sistem ing file. ΠΈ .
Snyk lan WhiteSource uga duwe , kanthi organisasi ngluncurake perintah sistem nalika parsing Dockerfile (contone, ing Snyk, liwat Dockefile, bisa ngganti utilitas /bin/ls sing diarani scanner, lan ing WhiteSurce, bisa ngganti kode liwat argumen ing wangun "echo ';tutul /tmp/hacked_whitesource_pip;=1.0 β²").
Kerentanan jangkar nggunakake sarana kanggo nggarap gambar docker. Operasi digodhog kanggo nambah paramèter kaya '"os": "$(touch hacked_anchore)"' menyang file manifest.json, sing diganti nalika nelpon skopeo tanpa uwal sing tepat (mung karakter ";&<>" sing dipotong, nanging konstruksi "$()").
Penulis sing padha nganakake panaliten babagan efektifitas ngenali kerentanan sing ora ditambal nggunakake pemindai keamanan wadah Docker lan tingkat positip palsu (, , ). Ing ngisor iki minangka asil tes 73 gambar sing ngemot kerentanan sing dikenal, lan uga ngevaluasi efektifitas kanggo nemtokake ananΓ© aplikasi khas ing gambar (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Source: opennet.ru