ಕಳೆದ ಶನಿವಾರ, ಮೇ 18, ಕೆನ್ನಾ ಸೆಕ್ಯುರಿಟಿಯ ಜೆರ್ರಿ ಗ್ಯಾಂಬ್ಲಿನ್ ಅವರು ಬಳಸುವ ರೂಟ್ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಆಧರಿಸಿ ಡಾಕರ್ ಹಬ್ನಿಂದ 1000 ಹೆಚ್ಚು ಜನಪ್ರಿಯ ಚಿತ್ರಗಳು. 19% ಪ್ರಕರಣಗಳಲ್ಲಿ ಅದು ಖಾಲಿಯಾಗಿತ್ತು.
ಆಲ್ಪೈನ್ ಜೊತೆ ಹಿನ್ನೆಲೆ
ಮಿನಿ-ಸಂಶೋಧನೆಗೆ ಕಾರಣವೆಂದರೆ ಈ ತಿಂಗಳ ಆರಂಭದಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡ ಟ್ಯಾಲೋಸ್ ದುರ್ಬಲತೆ ವರದಿ (), ಇದರ ಲೇಖಕರು - ಸಿಸ್ಕೊ ಅಂಬ್ರೆಲಾದಿಂದ ಪೀಟರ್ ಅಡ್ಕಿನ್ಸ್ ಅವರ ಆವಿಷ್ಕಾರಕ್ಕೆ ಧನ್ಯವಾದಗಳು - ಜನಪ್ರಿಯ ಆಲ್ಪೈನ್ ಕಂಟೇನರ್ ವಿತರಣೆಯೊಂದಿಗೆ ಡಾಕರ್ ಚಿತ್ರಗಳು ರೂಟ್ ಪಾಸ್ವರ್ಡ್ ಹೊಂದಿಲ್ಲ ಎಂದು ವರದಿ ಮಾಡಿದ್ದಾರೆ:
"ಅಧಿಕೃತ ಆಲ್ಪೈನ್ ಡಾಕರ್ ಚಿತ್ರಗಳು Linux (v3.3 ರಿಂದ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ) ಮೂಲ ಬಳಕೆದಾರರಿಗೆ NULL ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಡಿಸೆಂಬರ್ 2015 ರಲ್ಲಿ ಪರಿಚಯಿಸಲಾದ ಹಿಂಜರಿತದ ಪರಿಣಾಮವಾಗಿ ಈ ದುರ್ಬಲತೆಯನ್ನು ಪರಿಚಯಿಸಲಾಯಿತು. ದುರ್ಬಲತೆಯ ಸಾರವೆಂದರೆ ಆಲ್ಪೈನ್ನ ಪೀಡಿತ ಆವೃತ್ತಿಗಳೊಂದಿಗೆ ನಿಯೋಜಿಸಲಾದ ವ್ಯವಸ್ಥೆಗಳು Linux ಒಂದು ಪಾತ್ರೆಯಲ್ಲಿ ಮತ್ತು ಬಳಸುವುದು Linux PAM ಅಥವಾ ಸಿಸ್ಟಮ್ ಶ್ಯಾಡೋ ಫೈಲ್ ಅನ್ನು ದೃಢೀಕರಣ ಡೇಟಾಬೇಸ್ನಂತೆ ಬಳಸುವ ಇನ್ನೊಂದು ಕಾರ್ಯವಿಧಾನವು ರೂಟ್ ಬಳಕೆದಾರರಿಗೆ NULL ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಸ್ವೀಕರಿಸಬಹುದು."
ಸಮಸ್ಯೆಗಾಗಿ ಪರೀಕ್ಷಿಸಲಾದ ಆಲ್ಪೈನ್ನೊಂದಿಗೆ ಡಾಕರ್ ಚಿತ್ರಗಳ ಆವೃತ್ತಿಗಳು 3.3–3.9 ಒಳಗೊಂಡಿತ್ತು, ಹಾಗೆಯೇ ಅಂಚಿನ ಇತ್ತೀಚಿನ ಬಿಡುಗಡೆಯಾಗಿದೆ.
ಪೀಡಿತ ಬಳಕೆದಾರರಿಗೆ ಲೇಖಕರು ಈ ಕೆಳಗಿನ ಶಿಫಾರಸುಗಳನ್ನು ಮಾಡಿದ್ದಾರೆ:
"ಆಲ್ಪೈನ್ನ ಪೀಡಿತ ಆವೃತ್ತಿಗಳ ವಿರುದ್ಧ ನಿರ್ಮಿಸಲಾದ ಡಾಕರ್ ಚಿತ್ರಗಳಲ್ಲಿ ಮೂಲ ಖಾತೆಯನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು. ದುರ್ಬಲತೆಯ ಸಂಭಾವ್ಯ ಶೋಷಣೆ ಪರಿಸರದ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ, ಏಕೆಂದರೆ ಅದರ ಯಶಸ್ಸಿಗೆ ಬಾಹ್ಯವಾಗಿ ಬಹಿರಂಗಗೊಂಡ ಸೇವೆ ಅಥವಾ ಅಪ್ಲಿಕೇಶನ್ ಅಗತ್ಯವಿರುತ್ತದೆ ಅದು Linux PAM ಅಥವಾ ಇತರ ರೀತಿಯ ಕಾರ್ಯವಿಧಾನ."
ಸಮಸ್ಯೆಯಾಗಿತ್ತು ಆಲ್ಪೈನ್ ಆವೃತ್ತಿಗಳಲ್ಲಿ 3.6.5, 3.7.3, 3.8.4, 3.9.2 ಮತ್ತು ಎಡ್ಜ್ (20190228 ಸ್ನ್ಯಾಪ್ಶಾಟ್), ಮತ್ತು ಪೀಡಿತ ಚಿತ್ರಗಳ ಮಾಲೀಕರಿಗೆ ರೂಟ್ನೊಂದಿಗೆ ಲೈನ್ ಅನ್ನು ಕಾಮೆಂಟ್ ಮಾಡಲು ಕೇಳಲಾಯಿತು /etc/shadow ಅಥವಾ ಪ್ಯಾಕೇಜ್ ಕಾಣೆಯಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ linux-pam.
ಡಾಕರ್ ಹಬ್ನೊಂದಿಗೆ ಮುಂದುವರಿಯುತ್ತದೆ
ಜೆರ್ರಿ ಗ್ಯಾಂಬ್ಲಿನ್ "ಕಂಟೇನರ್ಗಳಲ್ಲಿ ಶೂನ್ಯ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬಳಸುವ ಅಭ್ಯಾಸ ಎಷ್ಟು ಸಾಮಾನ್ಯವಾಗಿದೆ" ಎಂಬುದರ ಕುರಿತು ಕುತೂಹಲದಿಂದಿರಲು ನಿರ್ಧರಿಸಿದರು. ಈ ಉದ್ದೇಶಕ್ಕಾಗಿ ಅವರು ಒಂದು ಸಣ್ಣ ಬರೆದಿದ್ದಾರೆ , ಇದರ ಸಾರವು ತುಂಬಾ ಸರಳವಾಗಿದೆ:
- ಡಾಕರ್ ಹಬ್ನಲ್ಲಿನ API ಗೆ ಕರ್ಲ್ ವಿನಂತಿಯ ಮೂಲಕ, ಅಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಡಾಕರ್ ಚಿತ್ರಗಳ ಪಟ್ಟಿಯನ್ನು ವಿನಂತಿಸಲಾಗಿದೆ;
- jq ಮೂಲಕ ಅದನ್ನು ಕ್ಷೇತ್ರದಿಂದ ವಿಂಗಡಿಸಲಾಗಿದೆ
popularity, ಮತ್ತು ಪಡೆದ ಫಲಿತಾಂಶಗಳಿಂದ, ಮೊದಲ ಸಾವಿರ ಉಳಿದಿದೆ; - ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದಕ್ಕೂ ಅದು ನೆರವೇರುತ್ತದೆ
docker pull; - ಡಾಕರ್ ಹಬ್ನಿಂದ ಸ್ವೀಕರಿಸಿದ ಪ್ರತಿ ಚಿತ್ರವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ
docker runಫೈಲ್ನಿಂದ ಮೊದಲ ಸಾಲನ್ನು ಓದುವುದರೊಂದಿಗೆ/etc/shadow; - ಸ್ಟ್ರಿಂಗ್ನ ಮೌಲ್ಯವು ಸಮಾನವಾಗಿದ್ದರೆ
root:::0:::::, ಚಿತ್ರದ ಹೆಸರನ್ನು ಪ್ರತ್ಯೇಕ ಫೈಲ್ನಲ್ಲಿ ಉಳಿಸಲಾಗಿದೆ.
ಏನಾಯಿತು? IN ಜನಪ್ರಿಯ ಡಾಕರ್ ಚಿತ್ರಗಳ ಹೆಸರುಗಳೊಂದಿಗೆ 194 ಸಾಲುಗಳಿದ್ದವು Linux-ಮೂಲ ಬಳಕೆದಾರರು ಪಾಸ್ವರ್ಡ್ ಹೊಂದಿಸದೇ ಇರುವ ವ್ಯವಸ್ಥೆಗಳು:
“ಈ ಪಟ್ಟಿಯಲ್ಲಿರುವ ಅತ್ಯಂತ ಪ್ರಸಿದ್ಧ ಹೆಸರುಗಳೆಂದರೆ govuk/governmentpaas, hashicorp, microsoft, monsanto ಮತ್ತು mesosphere. ಮತ್ತು kylemanna/openvpn ಪಟ್ಟಿಯಲ್ಲಿರುವ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಧಾರಕವಾಗಿದೆ, ಅದರ ಅಂಕಿಅಂಶಗಳು ಒಟ್ಟು 10 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಪುಲ್ಗಳನ್ನು ಹೊಂದಿದೆ.
ಆದಾಗ್ಯೂ, ಈ ವಿದ್ಯಮಾನವು ಅವುಗಳನ್ನು ಬಳಸುವ ವ್ಯವಸ್ಥೆಗಳ ಸುರಕ್ಷತೆಯಲ್ಲಿ ನೇರವಾದ ದುರ್ಬಲತೆಯನ್ನು ಅರ್ಥೈಸುವುದಿಲ್ಲ ಎಂದು ನೆನಪಿಸಿಕೊಳ್ಳುವುದು ಯೋಗ್ಯವಾಗಿದೆ: ಎಲ್ಲವೂ ಅವುಗಳನ್ನು ಎಷ್ಟು ನಿಖರವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಎಂಬುದರ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ. (ಮೇಲಿನ ಆಲ್ಪೈನ್ ಪ್ರಕರಣದಿಂದ ಕಾಮೆಂಟ್ ನೋಡಿ). ಆದಾಗ್ಯೂ, ನಾವು "ಕಥೆಯ ನೈತಿಕತೆ" ಅನ್ನು ಹಲವು ಬಾರಿ ನೋಡಿದ್ದೇವೆ: ಸ್ಪಷ್ಟವಾದ ಸರಳತೆಯು ಸಾಮಾನ್ಯವಾಗಿ ತೊಂದರೆಯನ್ನು ಹೊಂದಿದೆ, ಅದನ್ನು ಯಾವಾಗಲೂ ನೆನಪಿನಲ್ಲಿಟ್ಟುಕೊಳ್ಳಬೇಕು ಮತ್ತು ನಿಮ್ಮ ತಂತ್ರಜ್ಞಾನದ ಅಪ್ಲಿಕೇಶನ್ ಸನ್ನಿವೇಶಗಳಲ್ಲಿ ಅದರ ಪರಿಣಾಮಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು.
ಪಿಎಸ್
ನಮ್ಮ ಬ್ಲಾಗ್ನಲ್ಲಿಯೂ ಓದಿ:
- «";
- «";
- «";
- «».
ಮೂಲ: www.habr.com
