Leschte Samschdeg 18. méi Jerry Gamblin vun Kenna Sécherheet 1000 vun de populäersten Biller vum Docker Hub baséiert op dem Root Passwuert dat se benotzen. An 19% vun de Fäll war et eidel.
Hannergrond mat Alpine
De Grond fir d'Mini-Fuerschung war den Talos Vulnerabilitéitsbericht dee fréier dëse Mount erschéngt (), vun deenen d'Auteuren - dank der Entdeckung vum Peter Adkins vu Cisco Umbrella - gemellt hunn datt Docker Biller mat der populärer Alpine Containerverdeelung kee Root-Passwuert hunn:
"Offiziell Versioune vun Alpine Linux Docker Biller (zënter v3.3) enthalen e NULL Passwuert fir de Root Benotzer. Dës Schwachstelle koum aus enger Regressioun, déi am Dezember 2015 agefouert gouf. Den Haaptgrond vun dësem ass datt Systemer, déi mat problematesch Versioune vun Alpine Linux an engem Container agesat ginn an Linux PAM benotzen oder en anere Mechanismus, deen d'System Schattendatei als Authentifikatiounsdatebank benotzt, kann en NULL Passwuert fir de Root Benotzer akzeptéieren.
D'Versioune vun Docker Biller mat Alpine getest fir de Problem waren 3.3-3.9 inklusiv, souwéi déi lescht Verëffentlechung vum Rand.
D'Auteuren hunn déi folgend Empfehlung fir betraff Benotzer gemaach:
"De Root Kont muss explizit ausgeschalt ginn an Docker Biller aus problematesch Versioune vun Alpine gebaut. Déi méiglech Ausbeutung vun der Schwachstelle hänkt vun der Ëmwelt of, well säin Erfolleg erfuerdert en externen Forward Service oder Applikatioun mat Linux PAM oder aneren ähnlechen Mechanismus.
De Problem war an Alpine Versiounen 3.6.5, 3.7.3, 3.8.4, 3.9.2 a Rand (20190228 Snapshot), a Besëtzer vun betraffene Biller goufen opgefuerdert d'Linn mat root an ze kommentéieren /etc/shadow oder vergewëssert Iech datt de Package fehlt linux-pam.
Weider mam Docker Hub
De Jerry Gamblin huet decidéiert virwëtzeg ze sinn iwwer "wéi heefeg d'Praxis fir null Passwierder a Container ze benotzen kéint sinn." Fir dësen Zweck huet hien eng kleng , d'Essenz vun deem ass ganz einfach:
- duerch eng Curl Ufro un d'API am Docker Hub, gëtt eng Lëscht vun Docker Biller, déi do gehost ginn, gefrot;
- iwwer jq gëtt et no Feld zortéiert
popularity, a vun de Resultater kritt, déi éischt dausend bleift; - fir jidderee vun hinnen ass et erfëllt
docker pull; - fir all Bild kritt vum Docker Hub gëtt ausgefouert
docker runmat der éischter Zeil aus der Datei ze liesen/etc/shadow; - wann de Wäert vun der String gläich ass
root:::0:::::, gëtt den Numm vum Bild an enger separater Datei gespäichert.
Wat ass geschitt? IN Et waren 194 Zeilen mat den Nimm vu populäre Docker Biller mat Linux Systemer, an deenen de Root Benotzer kee Passwuert huet:
"Zu de bekanntsten Nimm op dëser Lëscht waren govuk/governmentpaas, hashicorp, microsoft, monsanto a mesosphere. An kylemanna / openvpn ass de populärste Container op der Lëscht, seng Statistike sinn am Ganzen méi wéi 10 Millioune zéien.
Et ass awer drun ze erënneren datt dëst Phänomen u sech net eng direkt Schwachstelle bedeit an der Sécherheet vun de Systemer déi se benotzen: alles hänkt dovun of wéi genau se benotzt ginn (kuckt Kommentar vum Alpine Fall uewen). Wéi och ëmmer, mir hunn d'"Moral vun der Geschicht" vill Mol gesinn: anscheinend Einfachheet huet dacks en Nodeel, deen ëmmer muss erënnert ginn an d'Konsequenze vun deenen an Ären Technologieapplikatiounsszenarien berücksichtegt ginn.
PS
Liest och op eisem Blog:
- «";
- «";
- «";
- «".
Source: will.com