ProHoster > Blog > berita internet > 19.4% daripada 1000 bekas Docker teratas mengandungi kata laluan akar kosong
19.4% daripada 1000 bekas Docker teratas mengandungi kata laluan akar kosong
Jerry Gamblin memutuskan untuk mengetahui sejauh mana penyebaran yang baru dikenal pasti masalah dalam imej Docker bagi pengedaran Alpine, dikaitkan dengan menentukan kata laluan kosong untuk pengguna root. Analisis beribu-ribu bekas paling popular daripada katalog Docker Hub menunjukkanbahawa dalam 194 daripada ini (19.4%) kata laluan kosong ditetapkan untuk root tanpa mengunci akaun (βroot:::0:::::β dan bukannya βroot:!::0:::::β).
Jika bekas menggunakan pakej shadow dan linux-pam, gunakan kata laluan root kosong membolehkan tingkatkan keistimewaan anda di dalam bekas jika anda mempunyai akses tanpa hak kepada kontena atau selepas mengeksploitasi kelemahan dalam perkhidmatan tidak istimewa yang dijalankan dalam bekas. Anda juga boleh menyambung ke bekas dengan hak akar jika anda mempunyai akses kepada infrastruktur, i.e. keupayaan untuk menyambung melalui terminal ke TTY yang dinyatakan dalam senarai /etc/securetty. Log masuk dengan kata laluan kosong disekat melalui SSH.