testēšanas rīku rezultāti, lai identificētu neaizlabotas ievainojamības un identificētu drošības problēmas izolētos Docker konteinera attēlos. Audits parādīja, ka 4 no 6 zināmajiem Docker attēlu skeneriem saturēja kritiskas ievainojamības, kas ļāva tieši uzbrukt skenerim un panākt tā koda izpildi sistēmā, dažos gadījumos (piemēram, izmantojot Snyk) ar root tiesībām.
Lai uzbruktu, uzbrucējam vienkārši jāuzsāk sava Dockerfile vai manifest.json pārbaude, kas ietver īpaši izstrādātus metadatus, vai arī attēlā jāievieto Podfile un gradlew faili. Izmantojiet prototipus sistēmām
, ,
и
. Pakete parādīja vislabāko drošību , kas sākotnēji tika rakstīts, domājot par drošību. Arī iepakojumā netika konstatētas problēmas. . Rezultātā tika secināts, ka Docker konteineru skeneri ir jādarbina izolētā vidē vai jāizmanto tikai savu attēlu pārbaudei, kā arī jāievēro piesardzība, savienojot šādus rīkus ar automatizētām nepārtrauktas integrācijas sistēmām.
FOSSA, Snyk un WhiteSource ievainojamība bija saistīta ar ārējā pakotņu pārvaldnieka izsaukšanu, lai noteiktu atkarības, un ļāva organizēt koda izpildi, failos norādot pieskārienu un sistēmas komandas. и .
Snyk un WhiteSource papildus bija , ar sistēmas palaišanas komandu organizēšanu, analizējot Dockerfile (piemēram, Snyk, izmantojot Dockefile, bija iespējams aizstāt skenera izsaukto /bin/ls utilītu, un WhiteSurce bija iespējams aizstāt kodu, izmantojot argumentus forma "echo ';pieskarieties /tmp/hacked_whitesource_pip;=1.0").
Enkura ievainojamība izmantojot utilītu darbam ar docker attēliem. Darbība ietvēra tādu parametru pievienošanu kā "os": "$(touch hacked_anchore)"' manifest.json failam, kas tiek aizstāti, izsaucot skopeo bez atbilstošas atslēgšanās (tikai ";&<>" rakstzīmes tika izgrieztas, bet konstrukcija "$( )").
Tas pats autors veica pētījumu par nelaboto ievainojamību identificēšanas efektivitāti, izmantojot Docker konteinera drošības skenerus, un viltus pozitīvu rezultātu līmeni (, , ). Tālāk ir sniegti 73 attēlu testēšanas rezultāti, kuros ir zināmas ievainojamības, kā arī novērtēta tipisku lietojumprogrammu (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) klātbūtnes noteikšanas efektivitāte attēlos.
Avots: opennet.ru