ααΆαααΈαααααα
αα ααΈα‘α¨ ααα§αααΆ ααααααα
ααα ααα Jerry Gamblin αα Kenna Security
ααααααΆααααααααΆαα½αα’αΆααααα
α ααα»αααααααΆααααΆαααααΆαααααΆαααααΆαααΌα
ααΊαααΆαααΆαααααΆαααΆαααααααα Talos αααααΆααααα αΆααααα½ααα
ααΎαααααα (
βααααααααΌαααΆαααααΌαααΆα Alpine Linux Docker (α αΆααααΆααααΈ v3.3) ααΆαααΆααααααααΆαα NULL αααααΆααα’αααααααΎααααΆαα root α ααΆαααΆαααααααααααααΆαααααΈααΆαααααααααααααααΆαααααΆααα αααα»αααααααΌ ααααΆα 2015α α ααα»α ααααΆααααΊαααααααααααααααΎααΆαα½αααααααΆααααα αΆαα Alpine Linux αα αααα»ααα»αααΊααααα½α α αΎαααααΎ Linux PAM α¬ααααααΆααααααααααααααααΎα―αααΆαααααααααααααααααΆααΌαααααΆααα·αααααααααααααααΆααα’αΆα ααα½αααααΆααααααααΆαα NULL αααααΆααα’αααααααΎααααΆαα root α
ααααααααΌαααΆα Docker ααΆαα½α Alpine αααααΆαααΆααααααααααΆαααααα αΆααΊ 3.3β3.9 αα½ααααα αΌα ααααΌα ααΆααΆαα ααααααΆαα α»αααααααααα»ααααααα
α’ααααα·ααααααΆαααααΎααΆαααααΆαααΌα ααΆαααααααααααΆααα’αααααααΎααααΆααααααααααααααΆααα
"ααααΈ root ααααΌαααααααΌαααΆααα·ααααΆαα αααΆααααΆαααα αααα»αααΌαααΆα Docker ααααααααΎαα‘αΎαααΈαααααααααΆααααα αΆαααα Alpine α ααααααΆαααααΆαααααααααααα ααααΆαααΆααααααααααΊα’αΆαααααααΎααα·ααααΆα αααααΆαααΆαααααααααααααΆααΆαααΆαααααΆαααααααααΌαααααααΈααΆααααα αααααααΎ Linux PAM α¬ααααααΆαααααααααααΆααααααααα
αααα αΆααΊ /etc/shadow
α¬ααααΌαααααΆααααΆαααα
ααααΆαα linux-pam
.
ααααααΆαα½α Docker Hub
ααα Jerry Gamblin ααΆααααααα
α
α·αααα
ααααΉαα
ααααΎαα’αααΈ "αααααΆααααααΆαααααΎααααΆαααααααααΆααααααα
αααα»ααα»αααΊαααααΊααΆααΏαααααααΆααα»ααααΆα" αααααΆααααααααααααααΆααααΆααααααααΌα
αα½α
- ααΆααααααααΎ curl αα ααΆαα API αα αααα»α Docker Hub αααααΈααααΌαααΆα Docker ααααααα αααα ααΈαααααααΌαααΆαααααΎαα»αα
- ααΆαααα jq ααΆααααΌαααΆαααααααααΆαααΆα
popularity
α αΎαααΈαααααααααααα½αααΆα αα ααααα½αααΆααααααΌαα - αααααΆαααα½αααααααΆαααααΆααααΌαααΆαααααα
docker pull
; - αααααΆααααΌαααΆαααΈαα½αααααααα½αααΆαααΈ Docker Hub ααααΌαααΆαααααα·ααααα·
docker run
ααΆαα½αααΉαααΆαα’αΆααα½αααΈαα½αααΈα―αααΆα/etc/shadow
; - ααααα·αααΎαααααααααααααΊααααΎααΉα
root:::0:::::
αααααααααααΌαααΆαααααΌαααΆααααααΆαα»ααααα»αα―αααΆαααΆα ααααα‘αααα½αα
ααΎααΆαα’αααΈααΎαα‘αΎα? IN
"αααα»αα αααααααααααααΈαααα»ααα αααα»ααααααΈαααααΊ govuk/governmentpaas, hashicorp, microsoft, monsanto αα·α mesosphere α α αΎα kylemanna/openvpn ααΊααΆαα»αααΊαααααααααα·αααααα»ααα αααα»ααααααΈ αααα·αα·ααααααΆαα½αααΆαααΆαααΆαα αααΎαααΆα 10 ααΆαα
αααααΆαααΆαααΆααααα αα½αααααΉαα‘αΎααα·αααΆ ααΆαα»ααΌαααααα αααα»ααααα½αααΆαα·αααΆααααααΆααΆαααΆαααααααααααααααΆαααα αααα»ααα»ααααα·ααΆααααααααααααααααααΎααααΆαααα½αααΆαααααα ααΆααΆααα’ααααΊα’αΆαααααααΎααααααααα½αααΆααααΌαααΆαααααΎααααΆαααααΆααα·αααααΆααα (ααΌαααΎαααΆαα’ααααΆαα·ααααΆαααΈααααΈ Alpine ααΆαααΎ). αααααΆαααΆαααΆααααα ααΎαααΆαααΎα "ααΈααααααααΏα" ααΆα αααΎαααα ααΆαααΆααααααΆαααααααααΆααΉαααΆααααΆαααΆαααααΆααα α»α αααααααΌαααα αα αΆαααΆαα·α αα αα·ααααα·ααΆαααααααααα·α αΆαααΆαα αααα»αααααΆααΈαααΌαααααα·ααΈαα αα αααα·ααααΆααααα’αααα
PS
ααΌαα’αΆαααααααα ααΎαααααααααααΎαα
- Β«
αααα·αα·ααΎααααααααααααα·ααααα·ααΆαααΌαααααΆααα αααα»αααΌαααΆααα ααΎ Docker Hub Β» - Β«
Docker αα·α Kubernetes αα αααα»αααα·ααααΆααααααΆαααΆααα»ααααα·ααΆα Β» - Β«
ααΆαααΆαααααααα CVE-2019-5736 αα αααα»α runc αααα’αα»ααααΆαα±ααα’αααααα½αααΆααα·αααα·ααΆ root αα ααΎαααΆαααΈα Β» - Β«
ααΆαααααααα Docker VM - αααΆαααΈααα·αααα·ααααα»αααΌααααααΆαα Docker αα·α pentesting "α
ααααα: www.habr.com