Докердин эң мыкты сүрөттөрүнүн 19%ында түпкү сырсөз жок

Өткөн ишембиде, 18-майда, Кенна коопсуздук кызматынын Джерри Гэмблин текшерилди Docker Hub эң популярдуу 1000 сүрөттөрү алар колдонгон түпкү сырсөздүн негизинде. 19% учурларда ал бош болгон.

Альп тоосу менен фон

Мини-изилдөөнүн себеби ушул айдын башында пайда болгон Талостун аялуулугу боюнча отчету болгон (TALOS-2019-0782), анын авторлору - Cisco Umbrella компаниясынан Питер Адкинстин ачылышынын аркасында - популярдуу Alpine контейнер бөлүштүрүү менен Docker сүрөттөрүнүн түпкү сырсөзү жок экенин билдиришкен:

“Alpine Linux Docker сүрөттөрүнүн расмий версияларында (v3.3 бери) түпкү колдонуучу үчүн NULL сырсөз бар. Бул алсыздык 2015-жылдын декабрында киргизилген регрессиядан келип чыккан. Мунун өзөгү Alpine Linuxтун көйгөйлүү версиялары менен контейнерде орнотулган жана Linux PAM же системанын көмүскө файлын аутентификация маалымат базасы катары колдонгон башка механизмди колдонгон системалар түпкү колдонуучу үчүн NULL сырсөзүн кабыл алышы мүмкүн.

Көйгөй үчүн сыналган Alpine менен Docker сүрөттөрүнүн версиялары 3.3–3.9 камтыган, ошондой эле edge'дин акыркы релизинде болгон.

Авторлор жабыркаган колдонуучулар үчүн төмөнкү сунуштарды беришти:

"Алпинин көйгөйлүү версияларынан түзүлгөн Docker сүрөттөрүндө түпкү каттоо эсеби ачык түрдө өчүрүлүшү керек. Алсыздыктын эксплуатацияланышы айлана-чөйрөгө көз каранды, анткени анын ийгилиги Linux PAM же башка ушул сыяктуу механизмди колдонгон сырттан жөнөтүлгөн кызматты же тиркемени талап кылат."

көйгөй болгон жок кылынды Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 жана edge (20190228 снапшот) версияларында жана жабыркаган сүрөттөрдүн ээлеринен тамыры бар сызыкты комментарийлеп берүү суралган. /etc/shadow же пакет жок экенине ынаныңыз linux-pam.

Docker Hub менен уланды

Джерри Гэмблин "контейнерлерде нөл сырсөздөрдү колдонуу практикасы канчалык кеңири таралганы" жөнүндө кызыктырууну чечти. Ушул максатта ал кичинекей жазган Баш скрипти, анын маңызы абдан жөнөкөй:

• Docker Hub ичиндеги API'ге curl өтүнүчү аркылуу ал жерде жайгашкан Docker сүрөттөрүнүн тизмеси суралат;
• jq аркылуу ал талаа боюнча иргелет popularity, жана алынган натыйжалардан, биринчи миң калат;
• алардын ар бири үчүн аткарылат docker pull;
• Docker Hubдан алынган ар бир сүрөт үчүн аткарылат docker run файлдан биринчи сапты окуу менен /etc/shadow;
• саптын мааниси барабар болсо root:::0:::::, сүрөттүн аты өзүнчө файлда сакталат.

Не болду? IN бул файл Linux тутумдары менен таанымал Docker сүрөттөрүнүн аталыштары менен 194 сап бар болчу, анда түпкү колдонуучуда сырсөз коюлган эмес:

«Бул тизмедеги эң белгилүү ысымдардын арасында govuk/governmentpaas, hashicorp, microsoft, monsanto жана mesosphere болгон. Жана kylemanna/openvpn - бул тизмедеги эң популярдуу контейнер, анын статистикасы 10 миллиондон ашык тартууну түзөт.

Бирок, бул көрүнүш өзү аларды колдонгон системалардын коопсуздугуна түздөн-түз алсыздыкты билдирбейт: мунун баары алар кандайча так колдонулганынан көз каранды экенин эстен чыгарбоо керек. (жогоруда Alpine окуясынын комментарийин караңыз). Бирок, биз “окуянын адеп-ахлагын” көп жолу көрдүк: көрүнгөн жөнөкөйлүктүн көбүнчө терс жагы бар, аны дайыма эстеп туруу керек жана анын кесепеттери сиздин технологияны колдонуу сценарийлериңизде эске алынат.

PS

Биздин блогдон дагы окуңуз:

• «Docker Hub ичиндеги сүрөттөрдөгү негизги операциялык системалардын статистикасы";
• «Docker жана Kubernetes коопсуздукту сезгич чөйрөлөрдө";
• «Runc ичиндеги CVE-2019-5736 аялуулугу, бул хостто тамыр укуктарын алууга мүмкүндүк берет";
• «Аялуу Docker VM - Docker жана пентестинг үчүн виртуалдык табышмак«.

Source: www.habr.com