resultaten van testtools om niet-gepatchte kwetsbaarheden te identificeren en beveiligingsproblemen in geïsoleerde Docker-containerimages te identificeren. Uit de audit bleek dat vier van de zes bekende Docker-beeldscanners kritieke kwetsbaarheden bevatten die het mogelijk maakten de scanner zelf rechtstreeks aan te vallen en de code op het systeem uit te voeren, in sommige gevallen (bijvoorbeeld bij gebruik van Snyk) met rootrechten.
Om aan te vallen hoeft een aanvaller eenvoudigweg zijn Dockerfile of manifest.json te controleren, die speciaal ontworpen metagegevens bevat, of Podfile- en gradlew-bestanden in de afbeelding te plaatsen. Prototypes exploiteren voor systemen
, ,
и
. Het pakket vertoonde de beste beveiliging , oorspronkelijk geschreven met veiligheid in gedachten. Ook in het pakket zijn geen problemen geconstateerd. . Als gevolg hiervan werd geconcludeerd dat Docker-containerscanners in geïsoleerde omgevingen moeten worden gebruikt of alleen moeten worden gebruikt om hun eigen afbeeldingen te controleren, en dat voorzichtigheid moet worden betracht bij het verbinden van dergelijke tools met geautomatiseerde continue integratiesystemen.
In FOSSA, Snyk en WhiteSource hield het beveiligingslek verband met het aanroepen van een externe pakketbeheerder om afhankelijkheden te bepalen en stelde het u in staat de uitvoering van uw code te organiseren door de aanraak- en systeemopdrachten in bestanden op te geven и .
Snyk en WhiteSource hadden dat ook , met de organisatie van het starten van systeemopdrachten bij het parseren van het Dockerfile (in Snyk was het bijvoorbeeld via Dockefile mogelijk om het hulpprogramma /bin/ls aangeroepen door de scanner te vervangen, en in WhiteSurce was het mogelijk om code te vervangen door argumenten in de vorm “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Veranker de kwetsbaarheid met behulp van het hulpprogramma voor het werken met docker-images. De werking kwam neer op het toevoegen van parameters als '"os": "$(touch hacked_anchore)"' aan het bestand manifest.json, die worden vervangen bij het aanroepen van skopeo zonder de juiste escape-tekens (alleen de tekens ";&<>" zijn eruit geknipt, maar de constructie "$( )").
Dezelfde auteur voerde een onderzoek uit naar de effectiviteit van het identificeren van niet-gepatchte kwetsbaarheden met behulp van Docker-containerbeveiligingsscanners en het niveau van valse positieven (, , ). Hieronder staan de resultaten van het testen van 73 afbeeldingen die bekende kwetsbaarheden bevatten, en evalueren we ook de effectiviteit van het bepalen van de aanwezigheid van typische applicaties in afbeeldingen (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Bron: opennet.ru