ಟಾಪ್ ಡಾಕರ್ ಚಿತ್ರಗಳಲ್ಲಿ 19% ರೂಟ್ ಪಾಸ್‌ವರ್ಡ್ ಹೊಂದಿಲ್ಲ

ಕಳೆದ ಶನಿವಾರ, ಮೇ 18, ಕೆನ್ನಾ ಸೆಕ್ಯುರಿಟಿಯ ಜೆರ್ರಿ ಗ್ಯಾಂಬ್ಲಿನ್ ಪರಿಶೀಲಿಸಲಾಗಿದೆ ಅವರು ಬಳಸುವ ರೂಟ್ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಆಧರಿಸಿ ಡಾಕರ್ ಹಬ್‌ನಿಂದ 1000 ಹೆಚ್ಚು ಜನಪ್ರಿಯ ಚಿತ್ರಗಳು. 19% ಪ್ರಕರಣಗಳಲ್ಲಿ ಅದು ಖಾಲಿಯಾಗಿತ್ತು.

ಆಲ್ಪೈನ್ ಜೊತೆ ಹಿನ್ನೆಲೆ

ಮಿನಿ-ಸಂಶೋಧನೆಗೆ ಕಾರಣವೆಂದರೆ ಈ ತಿಂಗಳ ಆರಂಭದಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡ ಟ್ಯಾಲೋಸ್ ದುರ್ಬಲತೆ ವರದಿ (TALOS-2019-0782), ಇದರ ಲೇಖಕರು - ಸಿಸ್ಕೊ ​​ಅಂಬ್ರೆಲಾದಿಂದ ಪೀಟರ್ ಅಡ್ಕಿನ್ಸ್ ಅವರ ಆವಿಷ್ಕಾರಕ್ಕೆ ಧನ್ಯವಾದಗಳು - ಜನಪ್ರಿಯ ಆಲ್ಪೈನ್ ಕಂಟೇನರ್ ವಿತರಣೆಯೊಂದಿಗೆ ಡಾಕರ್ ಚಿತ್ರಗಳು ರೂಟ್ ಪಾಸ್‌ವರ್ಡ್ ಹೊಂದಿಲ್ಲ ಎಂದು ವರದಿ ಮಾಡಿದ್ದಾರೆ:

“ಆಲ್ಪೈನ್ ಲಿನಕ್ಸ್ ಡಾಕರ್ ಚಿತ್ರಗಳ ಅಧಿಕೃತ ಆವೃತ್ತಿಗಳು (v3.3 ರಿಂದ) ರೂಟ್ ಬಳಕೆದಾರರಿಗಾಗಿ NULL ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ. ಈ ದುರ್ಬಲತೆಯು ಡಿಸೆಂಬರ್ 2015 ರಲ್ಲಿ ಪರಿಚಯಿಸಲಾದ ಹಿಂಜರಿತದಿಂದ ಉಂಟಾಗಿದೆ. ಇದರ ಸಾರಾಂಶವೆಂದರೆ ಕಂಟೇನರ್‌ನಲ್ಲಿ ಆಲ್ಪೈನ್ ಲಿನಕ್ಸ್‌ನ ಸಮಸ್ಯಾತ್ಮಕ ಆವೃತ್ತಿಗಳೊಂದಿಗೆ ನಿಯೋಜಿಸಲಾದ ಸಿಸ್ಟಮ್‌ಗಳು ಮತ್ತು ಲಿನಕ್ಸ್ PAM ಅಥವಾ ಸಿಸ್ಟಮ್ ಷ್ಯಾಡೋ ಫೈಲ್ ಅನ್ನು ದೃಢೀಕರಣ ಡೇಟಾಬೇಸ್‌ನಂತೆ ಬಳಸುವ ಇನ್ನೊಂದು ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸುವುದರಿಂದ ರೂಟ್ ಬಳಕೆದಾರರಿಗೆ NULL ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಸ್ವೀಕರಿಸಬಹುದು.

ಸಮಸ್ಯೆಗಾಗಿ ಪರೀಕ್ಷಿಸಲಾದ ಆಲ್ಪೈನ್‌ನೊಂದಿಗೆ ಡಾಕರ್ ಚಿತ್ರಗಳ ಆವೃತ್ತಿಗಳು 3.3–3.9 ಒಳಗೊಂಡಿತ್ತು, ಹಾಗೆಯೇ ಅಂಚಿನ ಇತ್ತೀಚಿನ ಬಿಡುಗಡೆಯಾಗಿದೆ.

ಪೀಡಿತ ಬಳಕೆದಾರರಿಗೆ ಲೇಖಕರು ಈ ಕೆಳಗಿನ ಶಿಫಾರಸುಗಳನ್ನು ಮಾಡಿದ್ದಾರೆ:

"ಆಲ್ಪೈನ್‌ನ ಸಮಸ್ಯಾತ್ಮಕ ಆವೃತ್ತಿಗಳಿಂದ ನಿರ್ಮಿಸಲಾದ ಡಾಕರ್ ಚಿತ್ರಗಳಲ್ಲಿ ರೂಟ್ ಖಾತೆಯನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬೇಕು. ದುರ್ಬಲತೆಯ ಸಂಭಾವ್ಯ ಶೋಷಣೆಯು ಪರಿಸರದ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ, ಏಕೆಂದರೆ ಅದರ ಯಶಸ್ಸಿಗೆ ಲಿನಕ್ಸ್ PAM ಅಥವಾ ಇತರ ರೀತಿಯ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಬಾಹ್ಯವಾಗಿ ಫಾರ್ವರ್ಡ್ ಮಾಡಲಾದ ಸೇವೆ ಅಥವಾ ಅಪ್ಲಿಕೇಶನ್ ಅಗತ್ಯವಿರುತ್ತದೆ."

ಸಮಸ್ಯೆಯಾಗಿತ್ತು ನಿವಾರಿಸಲಾಗಿದೆ ಆಲ್ಪೈನ್ ಆವೃತ್ತಿಗಳಲ್ಲಿ 3.6.5, 3.7.3, 3.8.4, 3.9.2 ಮತ್ತು ಎಡ್ಜ್ (20190228 ಸ್ನ್ಯಾಪ್‌ಶಾಟ್), ಮತ್ತು ಪೀಡಿತ ಚಿತ್ರಗಳ ಮಾಲೀಕರಿಗೆ ರೂಟ್‌ನೊಂದಿಗೆ ಲೈನ್ ಅನ್ನು ಕಾಮೆಂಟ್ ಮಾಡಲು ಕೇಳಲಾಯಿತು /etc/shadow ಅಥವಾ ಪ್ಯಾಕೇಜ್ ಕಾಣೆಯಾಗಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ linux-pam.

ಡಾಕರ್ ಹಬ್‌ನೊಂದಿಗೆ ಮುಂದುವರಿಯುತ್ತದೆ

ಜೆರ್ರಿ ಗ್ಯಾಂಬ್ಲಿನ್ "ಕಂಟೇನರ್‌ಗಳಲ್ಲಿ ಶೂನ್ಯ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸುವ ಅಭ್ಯಾಸ ಎಷ್ಟು ಸಾಮಾನ್ಯವಾಗಿದೆ" ಎಂಬುದರ ಕುರಿತು ಕುತೂಹಲದಿಂದಿರಲು ನಿರ್ಧರಿಸಿದರು. ಈ ಉದ್ದೇಶಕ್ಕಾಗಿ ಅವರು ಒಂದು ಸಣ್ಣ ಬರೆದಿದ್ದಾರೆ ಬ್ಯಾಷ್ ಸ್ಕ್ರಿಪ್ಟ್, ಇದರ ಸಾರವು ತುಂಬಾ ಸರಳವಾಗಿದೆ:

• ಡಾಕರ್ ಹಬ್‌ನಲ್ಲಿನ API ಗೆ ಕರ್ಲ್ ವಿನಂತಿಯ ಮೂಲಕ, ಅಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಡಾಕರ್ ಚಿತ್ರಗಳ ಪಟ್ಟಿಯನ್ನು ವಿನಂತಿಸಲಾಗಿದೆ;
• jq ಮೂಲಕ ಅದನ್ನು ಕ್ಷೇತ್ರದಿಂದ ವಿಂಗಡಿಸಲಾಗಿದೆ popularity, ಮತ್ತು ಪಡೆದ ಫಲಿತಾಂಶಗಳಿಂದ, ಮೊದಲ ಸಾವಿರ ಉಳಿದಿದೆ;
• ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದಕ್ಕೂ ಅದು ನೆರವೇರುತ್ತದೆ docker pull;
• ಡಾಕರ್ ಹಬ್‌ನಿಂದ ಸ್ವೀಕರಿಸಿದ ಪ್ರತಿ ಚಿತ್ರವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ docker run ಫೈಲ್‌ನಿಂದ ಮೊದಲ ಸಾಲನ್ನು ಓದುವುದರೊಂದಿಗೆ /etc/shadow;
• ಸ್ಟ್ರಿಂಗ್‌ನ ಮೌಲ್ಯವು ಸಮಾನವಾಗಿದ್ದರೆ root:::0:::::, ಚಿತ್ರದ ಹೆಸರನ್ನು ಪ್ರತ್ಯೇಕ ಫೈಲ್‌ನಲ್ಲಿ ಉಳಿಸಲಾಗಿದೆ.

ಏನಾಯಿತು? IN ಈ ಫೈಲ್ ಲಿನಕ್ಸ್ ಸಿಸ್ಟಮ್‌ಗಳೊಂದಿಗೆ ಜನಪ್ರಿಯ ಡಾಕರ್ ಚಿತ್ರಗಳ ಹೆಸರುಗಳೊಂದಿಗೆ 194 ಸಾಲುಗಳಿವೆ, ಇದರಲ್ಲಿ ರೂಟ್ ಬಳಕೆದಾರರು ಪಾಸ್‌ವರ್ಡ್ ಹೊಂದಿಸಿಲ್ಲ:

“ಈ ಪಟ್ಟಿಯಲ್ಲಿರುವ ಅತ್ಯಂತ ಪ್ರಸಿದ್ಧ ಹೆಸರುಗಳೆಂದರೆ govuk/governmentpaas, hashicorp, microsoft, monsanto ಮತ್ತು mesosphere. ಮತ್ತು kylemanna/openvpn ಪಟ್ಟಿಯಲ್ಲಿರುವ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಧಾರಕವಾಗಿದೆ, ಅದರ ಅಂಕಿಅಂಶಗಳು ಒಟ್ಟು 10 ಮಿಲಿಯನ್‌ಗಿಂತಲೂ ಹೆಚ್ಚು ಪುಲ್‌ಗಳನ್ನು ಹೊಂದಿದೆ.

ಆದಾಗ್ಯೂ, ಈ ವಿದ್ಯಮಾನವು ಅವುಗಳನ್ನು ಬಳಸುವ ವ್ಯವಸ್ಥೆಗಳ ಸುರಕ್ಷತೆಯಲ್ಲಿ ನೇರವಾದ ದುರ್ಬಲತೆಯನ್ನು ಅರ್ಥೈಸುವುದಿಲ್ಲ ಎಂದು ನೆನಪಿಸಿಕೊಳ್ಳುವುದು ಯೋಗ್ಯವಾಗಿದೆ: ಎಲ್ಲವೂ ಅವುಗಳನ್ನು ಎಷ್ಟು ನಿಖರವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ ಎಂಬುದರ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿರುತ್ತದೆ. (ಮೇಲಿನ ಆಲ್ಪೈನ್ ಪ್ರಕರಣದಿಂದ ಕಾಮೆಂಟ್ ನೋಡಿ). ಆದಾಗ್ಯೂ, ನಾವು "ಕಥೆಯ ನೈತಿಕತೆ" ಅನ್ನು ಹಲವು ಬಾರಿ ನೋಡಿದ್ದೇವೆ: ಸ್ಪಷ್ಟವಾದ ಸರಳತೆಯು ಸಾಮಾನ್ಯವಾಗಿ ತೊಂದರೆಯನ್ನು ಹೊಂದಿದೆ, ಅದನ್ನು ಯಾವಾಗಲೂ ನೆನಪಿನಲ್ಲಿಟ್ಟುಕೊಳ್ಳಬೇಕು ಮತ್ತು ನಿಮ್ಮ ತಂತ್ರಜ್ಞಾನದ ಅಪ್ಲಿಕೇಶನ್ ಸನ್ನಿವೇಶಗಳಲ್ಲಿ ಅದರ ಪರಿಣಾಮಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಬೇಕು.

ಪಿಎಸ್

ನಮ್ಮ ಬ್ಲಾಗ್‌ನಲ್ಲಿಯೂ ಓದಿ:

• «ಡಾಕರ್ ಹಬ್‌ನಲ್ಲಿನ ಚಿತ್ರಗಳಲ್ಲಿ ಆಧಾರವಾಗಿರುವ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್‌ಗಳ ಅಂಕಿಅಂಶಗಳು";
• «ಭದ್ರತಾ-ಸೂಕ್ಷ್ಮ ಪರಿಸರದಲ್ಲಿ ಡಾಕರ್ ಮತ್ತು ಕುಬರ್ನೆಟ್ಸ್";
• «ರನ್‌ಕ್‌ನಲ್ಲಿ ದುರ್ಬಲತೆ CVE-2019-5736, ಇದು ಹೋಸ್ಟ್‌ನಲ್ಲಿ ಮೂಲ ಹಕ್ಕುಗಳನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ";
• «ದುರ್ಬಲ ಡಾಕರ್ VM - ಡಾಕರ್ ಮತ್ತು ಪೆಂಟೆಸ್ಟಿಂಗ್‌ಗಾಗಿ ಪಜಲ್ ವರ್ಚುವಲ್ ಯಂತ್ರ».

ಮೂಲ: www.habr.com