Kerentanan ing scanner keamanan kanggo gambar wadhah Docker
Diterbitake asil saka alat testing kanggo ngenali kerentanan unpatched lan ngenali masalah keamanan ing gambar wadhah Docker terisolasi. Audit kasebut nuduhake yen 4 saka 6 scanner gambar Docker sing dikenal ngemot kerentanan kritis sing bisa nyerang scanner kasebut kanthi langsung lan entuk eksekusi kode ing sistem kasebut, ing sawetara kasus (contone, nalika nggunakake Snyk) kanthi hak ROOT.
Ing FOSSA, Snyk lan WhiteSource, kerentanan digandhengake karo nelpon manajer paket eksternal kanggo nemtokake dependensi lan ngidini sampeyan ngatur eksekusi kode kanthi nemtokake perintah tutul lan sistem ing file. gradlew ΠΈ Podfile.
Snyk lan WhiteSource uga duwe ditemokakevulnerabilities, gegandhengan kanthi organisasi ngluncurake perintah sistem nalika parsing Dockerfile (contone, ing Snyk, liwat Dockefile, bisa ngganti utilitas /bin/ls sing diarani scanner, lan ing WhiteSurce, bisa ngganti kode liwat argumen ing wangun "echo ';tutul /tmp/hacked_whitesource_pip;=1.0 β²").
Kerentanan jangkar diarani nggunakake sarana skopeo kanggo nggarap gambar docker. Operasi digodhog kanggo nambah paramèter kaya '"os": "$(touch hacked_anchore)"' menyang file manifest.json, sing diganti nalika nelpon skopeo tanpa uwal sing tepat (mung karakter ";&<>" sing dipotong, nanging konstruksi "$()").