കഴിഞ്ഞ ശനിയാഴ്ച, മെയ് 18, കെന്ന സെക്യൂരിറ്റിയിലെ ജെറി ഗാംബ്ലിൻ അവർ ഉപയോഗിക്കുന്ന റൂട്ട് പാസ്വേഡ് അടിസ്ഥാനമാക്കി ഡോക്കർ ഹബിൽ നിന്നുള്ള ഏറ്റവും ജനപ്രിയമായ 1000 ചിത്രങ്ങൾ. 19% കേസുകളിൽ അത് ശൂന്യമായിരുന്നു.
ആൽപൈനോടുകൂടിയ പശ്ചാത്തലം
ഈ മാസം ആദ്യം പ്രത്യക്ഷപ്പെട്ട ടാലോസ് വൾനറബിലിറ്റി റിപ്പോർട്ടാണ് മിനി ഗവേഷണത്തിന് കാരണം (), ഇതിന്റെ രചയിതാക്കൾ - സിസ്കോ കുടയിൽ നിന്ന് പീറ്റർ അഡ്കിൻസ് കണ്ടെത്തിയതിന് നന്ദി - ജനപ്രിയ ആൽപൈൻ കണ്ടെയ്നർ വിതരണമുള്ള ഡോക്കർ ചിത്രങ്ങൾക്ക് റൂട്ട് പാസ്വേഡ് ഇല്ലെന്ന് റിപ്പോർട്ട് ചെയ്തു:
“ആൽപൈൻ ലിനക്സ് ഡോക്കർ ഇമേജുകളുടെ ഔദ്യോഗിക പതിപ്പുകളിൽ (v3.3 മുതൽ) റൂട്ട് ഉപയോക്താവിനുള്ള ഒരു NULL പാസ്വേഡ് അടങ്ങിയിരിക്കുന്നു. 2015 ഡിസംബറിൽ അവതരിപ്പിച്ച ഒരു റിഗ്രഷനിൽ നിന്നാണ് ഈ ദുർബലത ഉണ്ടായത്. ഒരു കണ്ടെയ്നറിൽ ആൽപൈൻ ലിനക്സിന്റെ പ്രശ്നകരമായ പതിപ്പുകൾ ഉപയോഗിച്ച് വിന്യസിച്ചിരിക്കുന്ന സിസ്റ്റങ്ങൾ ലിനക്സ് PAM അല്ലെങ്കിൽ സിസ്റ്റം ഷാഡോ ഫയൽ ഒരു പ്രാമാണീകരണ ഡാറ്റാബേസായി ഉപയോഗിക്കുന്ന മറ്റൊരു മെക്കാനിസം ഉപയോഗിച്ച് റൂട്ട് ഉപയോക്താവിനായി NULL പാസ്വേഡ് സ്വീകരിച്ചേക്കാം എന്നതാണ് ഇതിന്റെ സാരം.
പ്രശ്നത്തിനായി പരീക്ഷിച്ച ആൽപൈൻ ഉള്ള ഡോക്കർ ചിത്രങ്ങളുടെ പതിപ്പുകൾ 3.3–3.9 ഉൾപ്പെടെ, എഡ്ജിന്റെ ഏറ്റവും പുതിയ പതിപ്പും.
ബാധിച്ച ഉപയോക്താക്കൾക്കായി രചയിതാക്കൾ ഇനിപ്പറയുന്ന ശുപാർശകൾ നൽകി:
“ആൽപൈനിന്റെ പ്രശ്നകരമായ പതിപ്പുകളിൽ നിന്ന് നിർമ്മിച്ച ഡോക്കർ ചിത്രങ്ങളിൽ റൂട്ട് അക്കൗണ്ട് വ്യക്തമായി പ്രവർത്തനരഹിതമാക്കിയിരിക്കണം. അപകടസാധ്യത ചൂഷണം ചെയ്യുന്നത് പരിസ്ഥിതിയെ ആശ്രയിച്ചിരിക്കുന്നു, കാരണം അതിന്റെ വിജയത്തിന് Linux PAM അല്ലെങ്കിൽ സമാനമായ മറ്റ് സംവിധാനം ഉപയോഗിച്ച് ഒരു ബാഹ്യമായി ഫോർവേഡ് ചെയ്ത സേവനമോ ആപ്ലിക്കേഷനോ ആവശ്യമാണ്."
എന്നതായിരുന്നു പ്രശ്നം ആൽപൈൻ പതിപ്പുകൾ 3.6.5, 3.7.3, 3.8.4, 3.9.2, എഡ്ജ് (20190228 സ്നാപ്പ്ഷോട്ട്) എന്നിവയിലും, ബാധിച്ച ചിത്രങ്ങളുടെ ഉടമകളോട് റൂട്ട് ഇൻ ഉള്ള വരിയിൽ അഭിപ്രായം പറയാൻ ആവശ്യപ്പെട്ടു. /etc/shadow അല്ലെങ്കിൽ പാക്കേജ് നഷ്ടമായെന്ന് ഉറപ്പാക്കുക linux-pam.
ഡോക്കർ ഹബ്ബിൽ തുടരുന്നു
ജെറി ഗാംബ്ലിൻ "കണ്ടെയ്നറുകളിൽ അസാധുവായ പാസ്വേഡുകൾ ഉപയോഗിക്കുന്നത് എത്ര സാധാരണമായിരിക്കാം" എന്നതിനെക്കുറിച്ച് ജിജ്ഞാസ പുലർത്താൻ തീരുമാനിച്ചു. ഇതിനായി അദ്ദേഹം ഒരു ചെറിയ കുറിപ്പ് എഴുതി , ഇതിന്റെ സാരാംശം വളരെ ലളിതമാണ്:
- ഡോക്കർ ഹബിലെ API-യിലേക്കുള്ള ഒരു ചുരുളൻ അഭ്യർത്ഥനയിലൂടെ, അവിടെ ഹോസ്റ്റ് ചെയ്തിരിക്കുന്ന ഡോക്കർ ചിത്രങ്ങളുടെ ഒരു ലിസ്റ്റ് അഭ്യർത്ഥിക്കുന്നു;
- jq വഴി ഇത് ഫീൽഡ് അനുസരിച്ച് അടുക്കുന്നു
popularity, ലഭിച്ച ഫലങ്ങളിൽ നിന്ന് ആദ്യ ആയിരം അവശേഷിക്കുന്നു; - ഓരോരുത്തർക്കും അതു നിവൃത്തിയാകുന്നു
docker pull; - ഡോക്കർ ഹബ്ബിൽ നിന്ന് ലഭിക്കുന്ന ഓരോ ചിത്രത്തിനും വേണ്ടി എക്സിക്യൂട്ട് ചെയ്യപ്പെടുന്നു
docker runഫയലിൽ നിന്നുള്ള ആദ്യ വരി വായിക്കുന്നതിനൊപ്പം/etc/shadow; - സ്ട്രിംഗിന്റെ മൂല്യം തുല്യമാണെങ്കിൽ
root:::0:::::, ചിത്രത്തിന്റെ പേര് ഒരു പ്രത്യേക ഫയലിൽ സംരക്ഷിച്ചിരിക്കുന്നു.
എന്ത് സംഭവിച്ചു? IN ലിനക്സ് സിസ്റ്റങ്ങളുള്ള ജനപ്രിയ ഡോക്കർ ചിത്രങ്ങളുടെ പേരുകളുള്ള 194 വരികൾ ഉണ്ടായിരുന്നു, അതിൽ റൂട്ട് ഉപയോക്താവിന് പാസ്വേഡ് സെറ്റ് ഇല്ല:
“ഈ ലിസ്റ്റിലെ ഏറ്റവും അറിയപ്പെടുന്ന പേരുകളിൽ ഗോവുക്/ഗവൺമെന്റ്പാസ്, ഹാഷികോർപ്പ്, മൈക്രോസോഫ്റ്റ്, മൊൺസാന്റോ, മെസോസ്ഫിയർ എന്നിവ ഉൾപ്പെടുന്നു. പട്ടികയിലെ ഏറ്റവും ജനപ്രിയമായ കണ്ടെയ്നറാണ് കൈലെമന്ന/ഓപ്പൺവിപിഎൻ, അതിന്റെ സ്ഥിതിവിവരക്കണക്കുകൾ മൊത്തം 10 ദശലക്ഷത്തിലധികം പുൾ ചെയ്യുന്നു.
എന്നിരുന്നാലും, ഈ പ്രതിഭാസം അവ ഉപയോഗിക്കുന്ന സിസ്റ്റങ്ങളുടെ സുരക്ഷയിൽ നേരിട്ടുള്ള ദുർബലതയെ അർത്ഥമാക്കുന്നില്ല എന്നത് ഓർമിക്കേണ്ടതാണ്: ഇതെല്ലാം അവ എത്രത്തോളം കൃത്യമായി ഉപയോഗിക്കുന്നു എന്നതിനെ ആശ്രയിച്ചിരിക്കുന്നു. (മുകളിലുള്ള ആൽപൈൻ കേസിൽ നിന്നുള്ള അഭിപ്രായം കാണുക). എന്നിരുന്നാലും, "കഥയുടെ ധാർമ്മികത" ഞങ്ങൾ പലതവണ കണ്ടിട്ടുണ്ട്: വ്യക്തമായ ലാളിത്യത്തിന് പലപ്പോഴും ഒരു പോരായ്മയുണ്ട്, അത് എല്ലായ്പ്പോഴും ഓർമ്മിക്കേണ്ടതാണ്, അതിന്റെ അനന്തരഫലങ്ങൾ നിങ്ങളുടെ ടെക്നോളജി ആപ്ലിക്കേഷൻ സാഹചര്യങ്ങളിൽ കണക്കിലെടുക്കണം.
പി.എസ്
ഞങ്ങളുടെ ബ്ലോഗിലും വായിക്കുക:
- «";
- «";
- «";
- «".
അവലംബം: www.habr.com