19% o nga whakaahua Docker runga karekau he kupuhipa pakiaka

I tera Rahoroi, Mei 18th, Jerry Gamblin o Kenna Security kua takina 1000 o nga whakaahua tino rongonui mai i Docker Hub i runga i te kupuhipa pakiaka ka whakamahia e ratou. I roto i te 19% o nga keehi he kau.

He papamuri me te Alpine

Ko te take o te rangahau-iti ko te Talos Vulnerability Report i puta i te timatanga o tenei marama (TALOS-2019-0782), ko nga kaituhi - na te kitenga o Peter Adkins mai i Cisco Umbrella - i kii ko nga whakaahua Docker me te tohatoha ipu Alpine rongonui kaore he kupuhipa pakiaka:

"Kei roto i nga putanga mana o nga whakaahua Alpine Linux Docker (mai i te v3.3) he kupuhipa NULL mo te kaiwhakamahi pakiaka. Ko tenei whakaraeraetanga i hua mai i te hokinga mai i te Hakihea 2015. Ko te mea nui o tenei ko nga punaha kua tukuna me nga momo raru o Alpine Linux i roto i te ipu me te whakamahi i te Linux PAM tetahi atu tikanga ranei e whakamahi ana i te konae whakamarumaru punaha hei papaunga raraunga whakamotuhēhētanga ka whakaae pea ki te kupuhipa NULL mo te kaiwhakamahi pakiaka.

Ko nga putanga o nga whakaahua Docker me te Alpine i whakamatauria mo te raru ko te 3.3–3.9 whakauru, me te putanga hou o te taha.

I mahia e nga kaituhi nga korero e whai ake nei mo nga kaiwhakamahi e pa ana:

"Me tino whakakorehia te putea pakiaka i roto i nga whakaahua Docker i hangaia mai i nga putanga raruraru o Alpine. Ko te kaha o te whakaraeraetanga ka whakawhirinaki ki te taiao, na te mea ko te angitu e hiahia ana he ratonga tuku atu ki waho, tono ranei ma te whakamahi i te Linux PAM me etahi atu momo ahua rite."

Ko te raruraru ko whakakorea i roto i nga putanga Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 me te taha (20190228 whakaahua), ka tonohia nga rangatira o nga whakaahua kua pa ki te korero mo te raina whai pakiaka ki roto. /etc/shadow kia mohio ranei kei te ngaro te kete linux-pam.

I haere tonu me Docker Hub

I whakatau a Jerry Gamblin ki te hiahia mo te "pehea te tikanga o te whakamahi i nga kupuhipa kore i roto i nga ipu." Mo tenei kaupapa i tuhia e ia he iti Tuhituhi Bash, he tino ngawari te tikanga:

• na roto i te tono curl ki te API i Docker Hub, ka tonohia he rarangi o nga whakaahua Docker e whakahaerehia ana ki reira;
• mā te jq ka kōmaka mā te āpure popularity, mai i nga hua i puta, ka toe te mano tuatahi;
• mo ia o ratou kua rite docker pull;
• mo ia ahua ka riro mai i Docker Hub ka mahia docker run me te panui i te rarangi tuatahi mai i te konae /etc/shadow;
• mehemea he rite te uara o te aho ki root:::0:::::, ka tiakina te ingoa o te ahua ki tetahi konae motuhake.

He aha te mea i tupu? IN tenei kōnae He 194 nga raina me nga ingoa o nga whakaahua Docker rongonui me nga punaha Linux, kaore he huinga kupuhipa a te kaiwhakamahi pakiaka:

“I roto i nga ingoa rongonui i runga i tenei rarangi ko govuk/governmentpaas, hashicorp, microsoft, monsanto me te mesosphere. A ko kylemanna/openvpn te ipu rongonui i runga i te raarangi, ko ona tatauranga neke atu i te 10 miriona kumea."

He mea tika kia maumahara, ko tenei ahuatanga ake ehara i te mea he whakaraeraetanga tika i roto i te haumarutanga o nga punaha e whakamahi ana i a raatau: ka whakawhirinaki katoa ki te pehea e whakamahia ai. (tirohia te korero mai i te keehi Alpine i runga ake nei). Engari, he maha nga wa i kite ai matou i te "mora o te korero": he maha nga wa he kino te ahua o te ngawari, me maumahara tonu me nga hua ka whakaarohia i roto i o ahuatanga tono hangarau.

PS

Pānuihia hoki i runga i ta maatau blog:

• «Nga tatauranga mo nga punaha whakahaere i raro i nga whakaahua kei runga Docker Hub";
• «Docker me Kubernetes i roto i nga taiao e hiahia ana ki te haumaru";
• «Whakaraeraetanga CVE-2019-5736 i roto i te runc, e taea ai e koe te whai mana pakiaka ki te kaihautu";
• «Whakaraerae Docker VM - panga mariko mo te Docker me te whakamatautau".

Source: will.com