19% ji wêneyên top Docker şîfreyek root tune

Şemiya çûyî, 18ê Gulanê, Jerry Gamblin ji Ewlekariya Kenna kontrol kirin 1000 wêneyên herî populer ên ji Docker Hub li ser bingeha şîfreya root ya ku ew bikar tînin. Di 19% bûyeran de ew vala bû.

Paşnav bi Alpine

Sedema piçûk-lêkolînê Rapora Xerabbûna Talos bû ku di destpêka vê mehê de xuya bû (TALOS-2019-0782), nivîskarên ku - bi saya vedîtina Peter Adkins ji Cisco Umbrella - ragihandin ku wêneyên Docker bi belavkirina konteynera Alpine ya populer re şîfreyek root tune:

"Guhertoyên fermî yên wêneyên Alpine Linux Docker (ji ber v3.3) şîfreyek NULL ji bo bikarhênerê root vedihewîne. Ev qelsî ji ber paşveçûnek ku di Kanûna 2015-an de hatî destnîşan kirin derket. Naveroka vê yekê ev e ku pergalên ku bi guhertoyên pirsgirêk ên Alpine Linux-ê di konteynerek de têne bicîh kirin û bi karanîna Linux PAM an mekanîzmayek din a ku pelê siya pergalê wekî databasek rastdariyê bikar tîne bikar tîne, dibe ku şîfreyek NULL ji bo bikarhênerê root qebûl bike.

Guhertoyên wêneyên Docker ên bi Alpine re ji bo pirsgirêkê hatine ceribandin 3.3–3.9 tevlihev bûn, û her weha serbestberdana herî dawî ya edge.

Nivîskaran pêşniyara jêrîn ji bo bikarhênerên bandor kirin:

"Divê di wêneyên Docker de ku ji guhertoyên pirsgirêk ên Alpine hatine çêkirin de hesabê root bi eşkereyî bête asteng kirin. Kêmkirina îhtîmala qelsbûnê bi hawîrdorê ve girêdayî ye, ji ber ku serkeftina wê karûbarek an serîlêdana ji derve ve hatî şandin ku bi karanîna Linux PAM an mekanîzmayên din ên mîna wan ve hatî şandin.

Pirsgirêk bû tasfiye kirin di guhertoyên Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 û devê (20190228 wêneya wêneyê) de, û ji xwediyên wêneyên bandorbûyî hate xwestin ku rêza bi root di nav de şîrove bikin /etc/shadow an jî piştrast bikin ku pakêt winda ye linux-pam.

Bi Docker Hub re dom kir

Jerry Gamblin biryar da ku meraq bike "dibe ku pratîka karanîna şîfreyên betal di konteyneran de çiqas hevpar be." Ji bo vê yekê wî nivîsek piçûk nivîsand Nivîsara Bash, ku cewhera wê pir hêsan e:

• bi navgîniya daxwazek curl ji API-yê re li Docker Hub, navnîşek wêneyên Docker ku li wir têne mêvan kirin tê xwestin;
• bi rêya jq li gorî zeviyê tê rêzkirin popularity, û ji encamên ku hatine bidestxistin, hezar yekem dimîne;
• ji bo her yekî ji wan pêk tê docker pull;
• ji bo her wêneyek ku ji Docker Hub hatî wergirtin tê darve kirin docker run bi xwendina rêza yekem ji pelê /etc/shadow;
• heke nirxa xêzikê wekhev be root:::0:::::, navê wêneyê di pelek cuda de tê tomar kirin.

Çi qewimî? LI vê pelê 194 rêzikên bi navên wêneyên Docker ên populer ên bi pergalên Linux re hebûn, ku tê de bikarhênerê root şîfreyek şîfreyek tune:

“Di nav navên herî naskirî yên di vê lîsteyê de govuk/governmentpaas, hashicorp, microsoft, monsanto û mezosphere bûn. Û kylemanna/openvpn di navnîşê de konteynera herî populer e, statîstîkên wê zêdetirî 10 mîlyon kişandin hene.

Lêbelê, Hêjayî bibîrxistinê ye ku ev diyarde bi serê xwe nayê wateya qelsiyek rasterast di ewlehiya pergalên ku wan bikar tînin: ew hemî bi wê ve girêdayî ye ku ew tam çawa têne bikar anîn. (Li şîroveya doza Alpine li jor binêre). Lêbelê, me gelek caran "exlaqî çîrokê" dîtiye: sadebûna xuya bi gelemperî kêmasiyek heye, ku divê her gav were bîranîn û encamên wê di senaryoyên serîlêdana teknolojiya we de bêne hesibandin.

PS

Li ser bloga me jî bixwînin:

• «Statîstîkên li ser pergalên xebitandinê yên bingehîn di wêneyên li ser Docker Hub de»;
• «Docker û Kubernetes di derdorên hesas ên ewlehiyê de»;
• «Zehfbûna CVE-2019-5736 di runc de, ku dihêle hûn mafên root li ser mêvandar bi dest bixin»;
• «Vulnerable Docker VM - makîneyek virtual ya puzzle ji bo Docker û pentest".

Source: www.habr.com