മികച്ച 19.4 ഡോക്കർ കണ്ടെയ്‌നറുകളിൽ 1000% ശൂന്യമായ റൂട്ട് പാസ്‌വേഡ് അടങ്ങിയിരിക്കുന്നു

പുതുതായി തിരിച്ചറിഞ്ഞത് എത്രത്തോളം വ്യാപകമാണെന്ന് കണ്ടെത്താൻ ജെറി ഗാംബ്ലിൻ തീരുമാനിച്ചു ഒരു പ്രശ്നം ആൽപൈൻ വിതരണത്തിന്റെ ഡോക്കർ ചിത്രങ്ങളിൽ, റൂട്ട് ഉപയോക്താവിനായി ഒരു ശൂന്യമായ പാസ്‌വേഡ് വ്യക്തമാക്കുന്നതുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു. ഡോക്കർ ഹബ് കാറ്റലോഗിൽ നിന്നുള്ള ആയിരക്കണക്കിന് ജനപ്രിയ കണ്ടെയ്‌നറുകളുടെ വിശകലനം കാണിച്ചു, എന്തിൽ 194 ഇതിൽ (19.4%) അക്കൗണ്ട് ലോക്ക് ചെയ്യാതെ റൂട്ടിനായി ഒരു ശൂന്യമായ പാസ്‌വേഡ് സജ്ജീകരിച്ചിരിക്കുന്നു ("റൂട്ട്:::0:::::" പകരം "റൂട്ട്:!::0:::::").

കണ്ടെയ്‌നർ ഷാഡോ, ലിനക്സ്-പാം പാക്കേജുകൾ ഉപയോഗിക്കുന്നുണ്ടെങ്കിൽ, ഒരു ശൂന്യമായ റൂട്ട് പാസ്‌വേഡ് ഉപയോഗിക്കുക ഇത് അനുവദിക്കുന്നു നിങ്ങൾക്ക് കണ്ടെയ്‌നറിലേക്ക് പ്രത്യേകാവകാശമില്ലാത്ത ആക്‌സസ് ഉണ്ടെങ്കിലോ കണ്ടെയ്‌നറിൽ പ്രവർത്തിക്കുന്ന ഒരു പ്രത്യേകാവകാശമില്ലാത്ത സേവനത്തിലെ ഒരു അപകടസാധ്യത ചൂഷണം ചെയ്‌തതിന് ശേഷമോ കണ്ടെയ്‌നറിനുള്ളിൽ നിങ്ങളുടെ പ്രത്യേകാവകാശങ്ങൾ വർദ്ധിപ്പിക്കുക. നിങ്ങൾക്ക് ഇൻഫ്രാസ്ട്രക്ചറിലേക്ക് ആക്‌സസ് ഉണ്ടെങ്കിൽ റൂട്ട് അവകാശങ്ങളുള്ള കണ്ടെയ്‌നറിലേക്ക് കണക്റ്റുചെയ്യാനും കഴിയും, അതായത്. ടെർമിനൽ വഴി /etc/securetty ലിസ്റ്റിൽ പറഞ്ഞിരിക്കുന്ന TTY-ലേക്ക് കണക്ട് ചെയ്യാനുള്ള കഴിവ്. ശൂന്യമായ പാസ്‌വേഡ് ഉപയോഗിച്ച് ലോഗിൻ ചെയ്യുന്നത് SSH വഴി തടഞ്ഞിരിക്കുന്നു.

ഇടയിൽ ഏറ്റവും ജനപ്രിയമായത് ശൂന്യമായ റൂട്ട് പാസ്‌വേഡ് ഉള്ള കണ്ടെയ്‌നറുകൾ അവള് മൈക്രോസോഫ്റ്റ്/അസുർ-ക്ലി, kylemanna/openvpn, ഗവൺമെന്റ്പാസ്/എസ്3-റിസോഴ്സ്, phpmyadmin/phpmyadmin, mesosphere/aws-cli и ഹാഷികോർപ്പ്/ടെറാഫോം10 ദശലക്ഷത്തിലധികം ഡൗൺലോഡുകൾ ഉണ്ട്. കണ്ടെയ്നറുകളും ഹൈലൈറ്റ് ചെയ്തിട്ടുണ്ട്
govuk/gemstash-alpine (500 ആയിരം), monsantoco/logstash (5 ദശലക്ഷം),
avhost/docker-matrix-riot (1 ദശലക്ഷം),
azuresdk/azure-cli-python (5 ദശലക്ഷം)
и ciscocloud/haproxy-consul (1 ദശലക്ഷം). ഈ കണ്ടെയ്‌നറുകളെല്ലാം ആൽപൈൻ അടിസ്ഥാനമാക്കിയുള്ളവയാണ്, ഷാഡോ, ലിനക്സ്-പാം പാക്കേജുകൾ ഉപയോഗിക്കുന്നില്ല. Debian അടിസ്ഥാനമാക്കിയുള്ള microsoft/azure-cli മാത്രമാണ് അപവാദം.

അവലംബം: opennet.ru