ಅನ್ಪ್ಯಾಚ್ ಮಾಡದ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಮತ್ತು ಪ್ರತ್ಯೇಕವಾದ ಡಾಕರ್ ಕಂಟೇನರ್ ಚಿತ್ರಗಳಲ್ಲಿನ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು ಪರೀಕ್ಷಾ ಸಾಧನಗಳಿಂದ ಫಲಿತಾಂಶಗಳು. ತಿಳಿದಿರುವ 4 ಡಾಕರ್ ಇಮೇಜ್ ಸ್ಕ್ಯಾನರ್ಗಳಲ್ಲಿ 6 ನಿರ್ಣಾಯಕ ದೋಷಗಳನ್ನು ಒಳಗೊಂಡಿವೆ ಎಂದು ಆಡಿಟ್ ತೋರಿಸಿದೆ, ಅದು ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ನೇರವಾಗಿ ಆಕ್ರಮಣ ಮಾಡಲು ಮತ್ತು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಅದರ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಾಧ್ಯವಾಗುವಂತೆ ಮಾಡಿದೆ, ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ (ಉದಾಹರಣೆಗೆ, ಸ್ನೈಕ್ ಬಳಸುವಾಗ) ಮೂಲ ಹಕ್ಕುಗಳೊಂದಿಗೆ.
ದಾಳಿ ಮಾಡಲು, ಆಕ್ರಮಣಕಾರನು ತನ್ನ ಡಾಕರ್ಫೈಲ್ ಅಥವಾ ಮ್ಯಾನಿಫೆಸ್ಟ್.ಜೆಸನ್ನ ಪರಿಶೀಲನೆಯನ್ನು ಪ್ರಾರಂಭಿಸಬೇಕಾಗುತ್ತದೆ, ಅದು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಮೆಟಾಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಅಥವಾ ಚಿತ್ರದ ಒಳಗೆ ಪಾಡ್ಫೈಲ್ ಮತ್ತು ಗ್ರ್ಯಾಡ್ಲ್ವ್ ಫೈಲ್ಗಳನ್ನು ಇರಿಸಿ. ಮೂಲಮಾದರಿಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಿ ವ್ಯವಸ್ಥೆಗಳಿಗೆ
, ,
и
. ಪ್ಯಾಕೇಜ್ ಅತ್ಯುತ್ತಮ ಭದ್ರತೆಯನ್ನು ತೋರಿಸಿದೆ , ಮೂಲತಃ ಭದ್ರತೆಯನ್ನು ಗಮನದಲ್ಲಿಟ್ಟುಕೊಂಡು ಬರೆಯಲಾಗಿದೆ. ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಯಾವುದೇ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿಲ್ಲ. . ಪರಿಣಾಮವಾಗಿ, ಡಾಕರ್ ಕಂಟೇನರ್ ಸ್ಕ್ಯಾನರ್ಗಳನ್ನು ಪ್ರತ್ಯೇಕ ಪರಿಸರದಲ್ಲಿ ಚಲಾಯಿಸಬೇಕು ಅಥವಾ ತಮ್ಮದೇ ಆದ ಚಿತ್ರಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮಾತ್ರ ಬಳಸಬೇಕು ಮತ್ತು ಅಂತಹ ಸಾಧನಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತ ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಸಂಪರ್ಕಿಸುವಾಗ ಎಚ್ಚರಿಕೆ ವಹಿಸಬೇಕು ಎಂದು ತೀರ್ಮಾನಿಸಲಾಯಿತು.
FOSSA, Snyk ಮತ್ತು WhiteSource ನಲ್ಲಿ, ಅವಲಂಬನೆಗಳನ್ನು ನಿರ್ಧರಿಸಲು ಬಾಹ್ಯ ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ಗೆ ಕರೆ ಮಾಡುವುದರೊಂದಿಗೆ ದುರ್ಬಲತೆ ಸಂಬಂಧಿಸಿದೆ ಮತ್ತು ಫೈಲ್ಗಳಲ್ಲಿ ಟಚ್ ಮತ್ತು ಸಿಸ್ಟಮ್ ಕಮಾಂಡ್ಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ ನಿಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಂಘಟಿಸಲು ನಿಮಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. и .
Snyk ಮತ್ತು WhiteSource ಹೆಚ್ಚುವರಿಯಾಗಿ ಹೊಂದಿತ್ತು , ಡಾಕರ್ಫೈಲ್ ಅನ್ನು ಪಾರ್ಸ್ ಮಾಡುವಾಗ ಸಿಸ್ಟಮ್ ಕಮಾಂಡ್ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಸಂಘಟನೆಯೊಂದಿಗೆ (ಉದಾಹರಣೆಗೆ, ಸ್ನೈಕ್ನಲ್ಲಿ, ಡಾಕ್ಫೈಲ್ ಮೂಲಕ, ಸ್ಕ್ಯಾನರ್ನಿಂದ ಕರೆಯಲಾಗುವ /bin/ls ಉಪಯುಕ್ತತೆಯನ್ನು ಬದಲಾಯಿಸಲು ಸಾಧ್ಯವಾಯಿತು ಮತ್ತು ವೈಟ್ಸರ್ಸ್ನಲ್ಲಿ, ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳ ಮೂಲಕ ಕೋಡ್ ಅನ್ನು ಬದಲಿಸಲು ಸಾಧ್ಯವಾಯಿತು ರೂಪ "echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
ಆಂಕರ್ ದುರ್ಬಲತೆ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸುವುದು ಡಾಕರ್ ಚಿತ್ರಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು. ಮ್ಯಾನಿಫೆಸ್ಟ್.json ಫೈಲ್ಗೆ '"os": "$(touch hacked_anchore)"' ನಂತಹ ಪ್ಯಾರಾಮೀಟರ್ಗಳನ್ನು ಸೇರಿಸಲು ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಕುದಿಸಲಾಗಿದೆ, ಇದು skopeo ಗೆ ಕರೆ ಮಾಡುವಾಗ ಸರಿಯಾಗಿ ತಪ್ಪಿಸಿಕೊಳ್ಳದೆ (";&<>" ಅಕ್ಷರಗಳನ್ನು ಮಾತ್ರ ಕತ್ತರಿಸಲಾಗಿದೆ, ಆದರೆ ನಿರ್ಮಾಣ "$( )").
ಅದೇ ಲೇಖಕರು ಡಾಕರ್ ಕಂಟೇನರ್ ಸೆಕ್ಯುರಿಟಿ ಸ್ಕ್ಯಾನರ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅನ್ಪ್ಯಾಚ್ ಮಾಡದ ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸುವ ಪರಿಣಾಮಕಾರಿತ್ವದ ಅಧ್ಯಯನವನ್ನು ನಡೆಸಿದರು ಮತ್ತು ತಪ್ಪು ಧನಾತ್ಮಕತೆಯ ಮಟ್ಟ (, , ) ತಿಳಿದಿರುವ ದೋಷಗಳನ್ನು ಹೊಂದಿರುವ 73 ಚಿತ್ರಗಳ ಪರೀಕ್ಷೆಯ ಫಲಿತಾಂಶಗಳು ಕೆಳಗಿವೆ ಮತ್ತು ಚಿತ್ರಗಳಲ್ಲಿ (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) ವಿಶಿಷ್ಟ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ನಿರ್ಧರಿಸುವ ಪರಿಣಾಮಕಾರಿತ್ವವನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಿ.
ಮೂಲ: opennet.ru