تیره شنبه، د می 18th، د کینا امنیت جیری ګمبلین
د الپین سره پس منظر
د مینی څیړنې دلیل د Talos د زیان مننې راپور و چې د دې میاشتې په پیل کې خپور شو (
"د الپین لینکس ډاکر عکسونو رسمي نسخې (له v3.3 راهیسې) د روټ کارونکي لپاره یو NULL پاسورډ لري. دا زیانمنتیا د 2015 په ډسمبر کې د راجع کیدو له امله رامینځته شوې. د دې لنډیز دا دی چې سیسټمونه په کانټینر کې د الپین لینکس ستونزې لرونکي نسخې سره ګمارل شوي او د لینکس PAM یا بل میکانیزم په کارولو سره چې د سیسټم سیوري فایل د تصدیق ډیټابیس په توګه کاروي ممکن د روټ کارونکي لپاره NULL پاسورډ ومني.
د الپین سره د ډاکر عکسونو نسخې د ستونزې لپاره ازمول شوي د 3.3–3.9 ټول شموله ، او همدارنګه د څنډې وروستي خوشې کول.
لیکوالانو د اغیزمنو کاروونکو لپاره لاندې سپارښتنې کړي:
"د روټ حساب باید په ډاکر عکسونو کې په ښکاره ډول غیر فعال شي چې د الپین له ستونزو ډک نسخو څخه جوړ شوي. د زیانمننې احتمالي ګټه اخیستنه په چاپیریال پورې اړه لري، ځکه چې بریالیتوب د لینوکس PAM یا ورته ورته میکانیزم په کارولو سره بهرنۍ لیږل شوي خدمت یا غوښتنلیک ته اړتیا لري."
ستونزه وه /etc/shadow
یا ډاډ ترلاسه کړئ چې کڅوړه ورکه ده linux-pam
.
د Docker Hub سره دوام لري
جیري ګمبلین پریکړه وکړه چې په دې اړه لیواله وي چې "په کانټینرونو کې د ناپاکو پاسورډونو کارولو تمرین څومره عام دی." د همدې هدف لپاره یې یوه کوچنۍ لیکنه وکړه
- په ډاکر هب کې API ته د curl غوښتنې له لارې ، د ډاکر عکسونو لیست چې هلته کوربه شوی غوښتنه شوې؛
- د jq له لارې دا د ساحې په واسطه ترتیب شوی
popularity
او د ترلاسه شویو پایلو څخه، لومړی زره پاتې دي؛ - د هر یو لپاره دا پوره کیږي
docker pull
; - د ډاکر هب څخه ترلاسه شوي هر عکس لپاره اجرا کیږي
docker run
د فایل څخه د لومړۍ کرښې لوستلو سره/etc/shadow
; - که د تار ارزښت مساوي وي
root:::0:::::
، د عکس نوم په جلا فایل کې خوندي شوی.
څه شوي دي؟ IN
"په دې لیست کې ترټولو مشهور نومونه govuk/governmentpaas، hashicorp، microsoft، Monsanto او mesosphere وو. او kylemanna/openvpn په لیست کې ترټولو مشهور کانټینر دی، د دې احصایې ټولټال له 10 ملیون څخه ډیر پلونه دي.
دا د یادولو وړ ده، په هرصورت، دا پدیده پخپله د سیسټمونو په امنیت کې د مستقیم زیان په معنی نه ده چې دوی کاروي: دا ټول پدې پورې اړه لري چې دوی څنګه کارول کیږي. (پورته د الپین قضیې نظر وګورئ). په هرصورت، موږ ډیری وختونه د "کیسې اخلاقي" لیدلي دي: ښکاره سادگي اکثرا یو منفي اړخ لري، کوم چې باید تل په یاد وساتل شي او پایلې یې ستاسو د ټیکنالوژۍ غوښتنلیک سناریو کې په پام کې نیول شوي.
PS
زموږ په بلاګ کې هم ولولئ:
- «
په ډاکر هب کې په عکسونو کې د اصلي عملیاتي سیسټمونو احصایې » - «
د امنیت غوښتنې چاپیریال کې ډاکر او کبرنیټس » - «
زیانمنتیا CVE-2019-5736 په رنک کې، کوم چې تاسو ته اجازه درکوي په کوربه کې د ریښو حقونه ترلاسه کړئ » - «
زیان منونکی ډاکر VM - د ډاکر او پینټیسټینګ لپاره د معما مجازی ماشین ".
سرچینه: www.habr.com