19% amin'ireo sary Docker ambony dia tsy manana tenimiafina faka

Ny asabotsy 18 may lasa teo, Jerry Gamblin avy ao amin'ny Kenna Security avy amin'ny teny anglisy 1000 amin'ireo sary malaza indrindra avy amin'ny Docker Hub mifototra amin'ny tenimiafina fototra ampiasainy. Ao amin'ny 19% amin'ny tranga dia foana.

Background miaraka amin'ny Alpine

Ny anton'ny fikarohana kely dia ny Talos Vulnerability Report izay niseho tamin'ny fiandohan'ity volana ity (TALOS-2019-0782), ireo mpanoratra izay - noho ny fahitana an'i Peter Adkins avy ao amin'ny Cisco Umbrella - dia nitatitra fa tsy manana tenimiafina fototra ny sary Docker miaraka amin'ny fizarana kaontenera Alpine malaza:

"Ny dikan-teny ofisialin'ny sary Alpine Linux Docker (hatramin'ny v3.3) dia misy tenimiafina NULL ho an'ny mpampiasa root. Ity vulnerability ity dia vokatry ny fihemorana nampidirina tamin'ny Desambra 2015. Ny votoatin'izany dia ny rafitra napetraka miaraka amin'ny dikan-teny Alpine Linux misy olana ao anaty fitoeran-javatra iray ary mampiasa Linux PAM na mekanika hafa mampiasa ny rakitra alokaloka ho toy ny angon-drakitra fanamarinana dia mety hanaiky tenimiafina NULL ho an'ny mpampiasa root.

Ny dikan-tsary Docker miaraka amin'i Alpine nosedraina ho an'ny olana dia 3.3-3.9, ary koa ny famoahana farany farany.

Ny mpanoratra dia nanao izao tolo-kevitra manaraka izao ho an'ireo mpampiasa voakasika:

"Ny kaonty root dia tsy maintsy ajanona mazava tsara amin'ny sary Docker namboarina avy amin'ny dikan-teny Alpine misy olana. Miankina amin'ny tontolo iainana ny mety ho fitrandrahana ny vulnerable, satria ny fahombiazany dia mitaky serivisy na fampiharana avy any ivelany mampiasa Linux PAM na rafitra hafa mitovy amin'izany.

Ny olana dia intsony amin'ny dikan-teny Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 ary edge (sary 20190228), ary nasaina naneho hevitra ny tsipika misy faka ao amin'ny /etc/shadow na ataovy azo antoka fa tsy ampy ilay fonosana linux-pam.

Nitohy tamin'ny Docker Hub

Nanapa-kevitra i Jerry Gamblin fa liana amin'ny "mahazatra ny fampiasana tenimiafina tsy misy dikany ao anaty kaontenera." Ho an'ity tanjona ity dia nanoratra kely izy Bash script, izay tena tsotra ny votoatiny:

• amin'ny alàlan'ny fangatahana curl amin'ny API ao amin'ny Docker Hub, misy lisitry ny sary Docker nampiantranoana tao;
• amin'ny jq dia alahatra araka ny saha popularity, ary avy amin’ny vokatra azo, dia tavela ny arivo voalohany;
• ho an'ny tsirairay amin'izy ireo dia tanteraka izany docker pull;
• isaky ny sary azo avy amin'ny Docker Hub dia tanterahina docker run miaraka amin'ny famakiana ny andalana voalohany amin'ny rakitra /etc/shadow;
• raha mitovy ny sandan'ny tady root:::0:::::, ny anaran'ny sary dia voatahiry ao anaty rakitra mitokana.

Inona no nitranga? IN ity rakitra ity Nisy andalana 194 misy ny anaran'ny sary Docker malaza miaraka amin'ny rafitra Linux, izay tsy ananan'ny mpampiasa root ny tenimiafina:

“Anisan'ireo anarana malaza indrindra amin'ity lisitra ity ny govuk/governmentpaas, hashicorp, microsoft, monsanto ary mesosphere. Ary ny kylemanna/openvpn no kaontenera malaza indrindra amin'ny lisitra, ny antontan'isany dia misintona mihoatra ny 10 tapitrisa.

Tsara anefa ny mampahatsiahy fa io trangan-javatra io dia tsy midika ho fahalemena mivantana amin'ny fiarovana ny rafitra mampiasa azy ireo: miankina amin'ny fomba ampiasana azy ireo izany rehetra izany. (jereo ny fanehoan-kevitra avy amin'ny raharaha Alpine etsy ambony). Na izany aza, efa hitantsika imbetsaka ny "moraly ny tantara": ny fahatsorana hita matetika dia misy lafy ratsiny, izay tsy maintsy tsaroana foana ary ny vokatr'izany dia raisina amin'ny sehatra fampiharana teknolojia.

Sal

Vakio ihany koa ao amin'ny bilaoginay:

• «Ny antontan'isa momba ny rafitra fiasa fototra amin'ny sary ao amin'ny Docker Hub";
• «Docker sy Kubernetes amin'ny tontolo saropady fiarovana";
• «Vulnerability CVE-2019-5736 amin'ny runc, izay ahafahanao mahazo zo faka amin'ny mpampiantrano";
• «Docker VM vulnerable - piozila virtoaly ho an'ny Docker sy pentesting".

Source: www.habr.com