์ง๋ 18์ XNUMX์ผ ํ ์์ผ, Kenna Security์ Jerry Gamblin
์ํ์ธ ๋ฐฐ๊ฒฝ
๋ฏธ๋ ์กฐ์ฌ๋ฅผ ํ๊ฒ ๋ ๊ณ๊ธฐ๋ ์ด๋ฌ ์ด ๋ฑ์ฅํ ํ๋ก์ค ์ทจ์ฝ์ ๋ณด๊ณ ์(Talos Vulnerability Report) ๋๋ฌธ์ด๋ค.
โAlpine Linux Docker ์ด๋ฏธ์ง์ ๊ณต์ ๋ฒ์ (v3.3 ์ดํ)์๋ ๋ฃจํธ ์ฌ์ฉ์์ ๋ํ NULL ๋น๋ฐ๋ฒํธ๊ฐ ํฌํจ๋์ด ์์ต๋๋ค. ์ด ์ทจ์ฝ์ ์ 2015๋ XNUMX์์ ๋์ ๋ ํ๊ท๋ก ์ธํด ๋ฐ์ํ์ต๋๋ค. ์ด๊ฒ์ ์์ ์ ์ปจํ ์ด๋์ ๋ฌธ์ ๊ฐ ์๋ Alpine Linux ๋ฒ์ ์ ๋ฐฐํฌํ๊ณ Linux PAM ๋๋ ์์คํ ์๋์ฐ ํ์ผ์ ์ธ์ฆ ๋ฐ์ดํฐ๋ฒ ์ด์ค๋ก ์ฌ์ฉํ๋ ๋ค๋ฅธ ๋ฉ์ปค๋์ฆ์ ์ฌ์ฉํ๋ ์์คํ ์ด ๋ฃจํธ ์ฌ์ฉ์์ ๋ํด NULL ๋น๋ฐ๋ฒํธ๋ฅผ ํ์ฉํ ์ ์๋ค๋ ๊ฒ์ ๋๋ค.โ
๋ฌธ์ ์ ๋ํด ํ ์คํธ๋ Alpine์ Docker ์ด๋ฏธ์ง ๋ฒ์ ์ 3.3~3.9 ๋ฒ์ ๊ณผ ์ต์ Edge ๋ฆด๋ฆฌ์ค์์ต๋๋ค.
์ ์๋ ์ํฅ์ ๋ฐ๋ ์ฌ์ฉ์์๊ฒ ๋ค์๊ณผ ๊ฐ์ ๊ถ์ฅ ์ฌํญ์ ์ ์ํ์ต๋๋ค.
โ๋ฌธ์ ๊ฐ ์๋ Alpine ๋ฒ์ ์ผ๋ก ๋น๋๋ Docker ์ด๋ฏธ์ง์์๋ ๋ฃจํธ ๊ณ์ ์ ๋ช ์์ ์ผ๋ก ๋นํ์ฑํํด์ผ ํฉ๋๋ค. ์ทจ์ฝ์ ์ ์ ์ฉํ ๊ฐ๋ฅ์ฑ์ ํ๊ฒฝ์ ๋ฐ๋ผ ๋ค๋ฆ ๋๋ค. ์ฑ๊ณตํ๋ ค๋ฉด Linux PAM ๋๋ ๊ธฐํ ์ ์ฌํ ๋ฉ์ปค๋์ฆ์ ์ฌ์ฉํ์ฌ ์ธ๋ถ๋ก ์ ๋ฌ๋๋ ์๋น์ค๋ ์ ํ๋ฆฌ์ผ์ด์ ์ด ํ์ํ๊ธฐ ๋๋ฌธ์ ๋๋ค."
๋ฌธ์ ๋ /etc/shadow
์๋๋ฉด ํจํค์ง๊ฐ ๋๋ฝ๋์๋์ง ํ์ธํ์ธ์ linux-pam
.
Docker Hub๋ก ๊ณ์
Jerry Gamblin์ "์ปจํ
์ด๋์์ null ๋น๋ฐ๋ฒํธ๋ฅผ ์ฌ์ฉํ๋ ๊ดํ์ด ์ผ๋ง๋ ํํ์ง" ๊ถ๊ธํดํ๊ธฐ๋ก ๊ฒฐ์ ํ์ต๋๋ค. ์ด๋ฅผ ์ํด ๊ทธ๋ ์์ ๊ธ์ ์ผ๋ค.
- Docker Hub์ API์ ๋ํ ์ปฌ ์์ฒญ์ ํตํด ๊ฑฐ๊ธฐ์์ ํธ์คํ ๋๋ Docker ์ด๋ฏธ์ง ๋ชฉ๋ก์ด ์์ฒญ๋ฉ๋๋ค.
- jq๋ฅผ ํตํด ํ๋๋ณ๋ก ์ ๋ ฌ๋ฉ๋๋ค.
popularity
, ๊ทธ๋ฆฌ๊ณ ์ป์ ๊ฒฐ๊ณผ์์ ์ฒ์ ์ฒ ๊ฐ๊ฐ ๋จ์ ์์ต๋๋ค. - ๊ทธ๋ค ๊ฐ๊ฐ์ ๋ํด ๊ทธ๊ฒ์ ์ฑ์ทจ๋ฉ๋๋ค
docker pull
; - Docker Hub์์ ๋ฐ์ ๊ฐ ์ด๋ฏธ์ง์ ๋ํด ์คํ๋ฉ๋๋ค.
docker run
ํ์ผ์ ์ฒซ ๋ฒ์งธ ์ค์ ์ฝ์ผ๋ฉด์/etc/shadow
; - ๋ฌธ์์ด์ ๊ฐ์ด ๋ค์๊ณผ ๊ฐ์ ๊ฒฝ์ฐ
root:::0:::::
, ์ด๋ฏธ์ง ์ด๋ฆ์ ๋ณ๋์ ํ์ผ์ ์ ์ฅ๋ฉ๋๋ค.
๋ฌด์จ ์ผ์ด์์? ์์
โ์ด ๋ชฉ๋ก์์ ๊ฐ์ฅ ์ ์๋ ค์ง ์ด๋ฆ ์ค์๋ govuk/governmentpaas, hashicorp, microsoft, monsanto ๋ฐ mesosphere๊ฐ ์์ต๋๋ค. ๊ทธ๋ฆฌ๊ณ kylemanna/openvpn์ ๋ชฉ๋ก์์ ๊ฐ์ฅ ์ธ๊ธฐ ์๋ ์ปจํ ์ด๋์ด๋ฉฐ, ํต๊ณ๋ ์ด 10์ฒ๋ง ๊ฑด์ด ๋์ต๋๋ค.โ
๊ทธ๋ฌ๋ ์ด ํ์ ์์ฒด๊ฐ ์ด๋ฅผ ์ฌ์ฉํ๋ ์์คํ ์ ๋ณด์์ ์ง์ ์ ์ธ ์ทจ์ฝ์ฑ์ ์๋ฏธํ๋ ๊ฒ์ ์๋๋ผ๋ ์ ์ ์๊ธฐํ ๊ฐ์น๊ฐ ์์ต๋๋ค. ์ด๋ ๋ชจ๋ ํด๋น ํ์์ด ์ ํํ ์ด๋ป๊ฒ ์ฌ์ฉ๋๋์ง์ ๋ฐ๋ผ ๋ฌ๋ผ์ง๋๋ค. (์ Alpine ์ฌ๋ก์ ์ค๋ช ์ฐธ์กฐ). ๊ทธ๋ฌ๋ ์ฐ๋ฆฌ๋ "์ด์ผ๊ธฐ์ ๋๋"์ ์ฌ๋ฌ ๋ฒ ๋ณด์์ต๋๋ค. ๋ช ๋ฐฑํ ๋จ์์ฑ์ ์ข ์ข ๋จ์ ์ด ์์ผ๋ฉฐ, ํญ์ ๊ธฐ์ตํด์ผ ํ๊ณ ๊ธฐ์ ์ ์ฉ ์๋๋ฆฌ์ค์์ ๊ทธ ๊ฒฐ๊ณผ๋ฅผ ๊ณ ๋ คํด์ผ ํฉ๋๋ค.
PS
๋ธ๋ก๊ทธ์์๋ ์ฝ์ด๋ณด์ธ์.
- ยซ
Docker Hub ์ด๋ฏธ์ง์ ๊ธฐ๋ณธ ์ด์ ์ฒด์ ์ ๋ํ ํต๊ณ "; - ยซ
๋ณด์์ ๋ฏผ๊ฐํ ํ๊ฒฝ์ Docker ๋ฐ Kubernetes "; - ยซ
ํธ์คํธ์ ๋ํ ๋ฃจํธ ๊ถํ์ ์ป์ ์ ์๋ runc์ ์ทจ์ฝ์ CVE-2019-5736 "; - ยซ
์ทจ์ฝํ Docker VM - Docker ๋ฐ ์นจํฌ ํ ์คํธ๋ฅผ ์ํ ํผ์ฆ ๊ฐ์ ๋จธ์ ".
์ถ์ฒ : habr.com