शीर्ष 19.4 डकर कन्टेनरहरूको 1000% मा खाली रूट पासवर्ड समावेश छ

जेरी ग्याम्बलिनले नयाँ पहिचान कसरी व्यापक छ भनेर पत्ता लगाउने निर्णय गरे समस्या अल्पाइन वितरणको डकर छविहरूमा, रूट प्रयोगकर्ताको लागि खाली पासवर्ड निर्दिष्ट गर्न सम्बन्धित। डकर हब सूचीबाट हजारौं सबैभन्दा लोकप्रिय कन्टेनरहरूको विश्लेषण देखियो, के मा 194 यी मध्ये (19.4%) रूट खाता लक नगरी खाली पासवर्डमा सेट गरिएको छ ("रूट::::::::::" को सट्टा "रूट:!::0:::::")।

यदि कन्टेनरले छाया र लिनक्स-पाम प्याकेजहरू प्रयोग गर्दछ भने, खाली रूट पासवर्ड प्रयोग गर्नुहोस् यसलाई अनुमति दिन्छ यदि तपाईंसँग कन्टेनरमा विशेषाधिकाररहित पहुँच छ भने वा कन्टेनरमा चलिरहेको गैर-विशेषाधिकाररहित सेवामा जोखिमको शोषण गरेपछि कन्टेनर भित्र आफ्ना विशेषाधिकारहरू बढाउनुहोस्। यदि तपाइँसँग पूर्वाधारमा पहुँच छ भने तपाइँ रूट अधिकारहरूसँग कन्टेनरमा जडान गर्न सक्नुहुन्छ, अर्थात्। टर्मिनल मार्फत /etc/securetty सूचीमा निर्दिष्ट गरिएको TTY मा जडान गर्ने क्षमता। खाली पासवर्डको साथ लगइन SSH मार्फत रोकिएको छ।

बीच सबैभन्दा लोकप्रिय खाली रूट पासवर्ड संग कन्टेनर के हो microsoft/azure-cli, kylemanna/openvpn, governmentpaas/s3- संसाधन, phpmyadmin/phpmyadmin, mesosphere/aws-cli и hashicorp/terraform, जसमा 10 मिलियन भन्दा बढी डाउनलोडहरू छन्। कन्टेनरहरू पनि हाइलाइट गरिएका छन्
govuk/gemstash-alpine (५०० हजार), monsantoco/logstash (३५१ मिलियन),
avhost/docker-matrix-riot (३५१ मिलियन),
azuresdk/azure-cli-python (१४८.७ मिलियन)
и ciscocloud/haproxy-consul (१ मिलियन)। प्रायः यी सबै कन्टेनरहरू अल्पाइनमा आधारित छन् र छाया र लिनक्स-पाम प्याकेजहरू प्रयोग गर्दैनन्। डेबियनमा आधारित माइक्रोसफ्ट/अजुर-क्ली मात्र अपवाद हो।

स्रोत: opennet.ru