د غوره ډاکر عکسونو 19٪ د روټ پاسورډ نلري

تیره شنبه، د می 18th، د کینا امنیت جیری ګمبلین چک شوی د ډاکر هب څخه 1000 خورا مشهور عکسونه د روټ پاسورډ پراساس چې دوی یې کاروي. په 19٪ قضیو کې دا خالي وه.

د الپین سره پس منظر

د مینی څیړنې دلیل د Talos د زیان مننې راپور و چې د دې میاشتې په پیل کې خپور شو (TALOS-2019-0782) ، د کوم لیکوالانو - د سیسکو امبریلا څخه د پیټر اډکینز کشف څخه مننه - راپور ورکړ چې د مشهور الپین کانټینر توزیع سره د ډاکر عکسونه د روټ پاسورډ نلري:

"د الپین لینکس ډاکر عکسونو رسمي نسخې (له v3.3 راهیسې) د روټ کارونکي لپاره یو NULL پاسورډ لري. دا زیانمنتیا د 2015 په ډسمبر کې د راجع کیدو له امله رامینځته شوې. د دې لنډیز دا دی چې سیسټمونه په کانټینر کې د الپین لینکس ستونزې لرونکي نسخې سره ګمارل شوي او د لینکس PAM یا بل میکانیزم په کارولو سره چې د سیسټم سیوري فایل د تصدیق ډیټابیس په توګه کاروي ممکن د روټ کارونکي لپاره NULL پاسورډ ومني.

د الپین سره د ډاکر عکسونو نسخې د ستونزې لپاره ازمول شوي د 3.3–3.9 ټول شموله ، او همدارنګه د څنډې وروستي خوشې کول.

لیکوالانو د اغیزمنو کاروونکو لپاره لاندې سپارښتنې کړي:

"د روټ حساب باید په ډاکر عکسونو کې په ښکاره ډول غیر فعال شي چې د الپین له ستونزو ډک نسخو څخه جوړ شوي. د زیانمننې احتمالي ګټه اخیستنه په چاپیریال پورې اړه لري، ځکه چې بریالیتوب د لینوکس PAM یا ورته ورته میکانیزم په کارولو سره بهرنۍ لیږل شوي خدمت یا غوښتنلیک ته اړتیا لري."

ستونزه وه له منځه وړل په الپین نسخو کې 3.6.5, 3.7.3, 3.8.4, 3.9.2 او څنډه (20190228 سنیپ شاټ) او د اغیزمنو عکسونو مالکینو څخه وغوښتل شول چې د ریښې سره کرښه څرګند کړي. /etc/shadow یا ډاډ ترلاسه کړئ چې کڅوړه ورکه ده linux-pam.

د Docker Hub سره دوام لري

جیري ګمبلین پریکړه وکړه چې په دې اړه لیواله وي چې "په کانټینرونو کې د ناپاکو پاسورډونو کارولو تمرین څومره عام دی." د همدې هدف لپاره یې یوه کوچنۍ لیکنه وکړه bash سکریپټد هغه جوهر خورا ساده دی:

• په ډاکر هب کې API ته د curl غوښتنې له لارې ، د ډاکر عکسونو لیست چې هلته کوربه شوی غوښتنه شوې؛
• د jq له لارې دا د ساحې په واسطه ترتیب شوی popularityاو د ترلاسه شویو پایلو څخه، لومړی زره ​​پاتې دي؛
• د هر یو لپاره دا پوره کیږي docker pull;
• د ډاکر هب څخه ترلاسه شوي هر عکس لپاره اجرا کیږي docker run د فایل څخه د لومړۍ کرښې لوستلو سره /etc/shadow;
• که د تار ارزښت مساوي وي root:::0:::::، د عکس نوم په جلا فایل کې خوندي شوی.

څه شوي دي؟ IN دا دوتنه د لینکس سیسټمونو سره د مشهور ډاکر عکسونو نومونو سره 194 لینونه شتون لري ، په کوم کې چې د روټ کارونکي پاسورډ نلري:

"په دې لیست کې ترټولو مشهور نومونه govuk/governmentpaas، hashicorp، microsoft، Monsanto او mesosphere وو. او kylemanna/openvpn په لیست کې ترټولو مشهور کانټینر دی، د دې احصایې ټولټال له 10 ملیون څخه ډیر پلونه دي.

دا د یادولو وړ ده، په هرصورت، دا پدیده پخپله د سیسټمونو په امنیت کې د مستقیم زیان په معنی نه ده چې دوی کاروي: دا ټول پدې پورې اړه لري چې دوی څنګه کارول کیږي. (پورته د الپین قضیې نظر وګورئ). په هرصورت، موږ ډیری وختونه د "کیسې اخلاقي" لیدلي دي: ښکاره سادگي اکثرا یو منفي اړخ لري، کوم چې باید تل په یاد وساتل شي او پایلې یې ستاسو د ټیکنالوژۍ غوښتنلیک سناریو کې په پام کې نیول شوي.

PS

زموږ په بلاګ کې هم ولولئ:

• «په ډاکر هب کې په عکسونو کې د اصلي عملیاتي سیسټمونو احصایې»
• «د امنیت غوښتنې چاپیریال کې ډاکر او کبرنیټس»
• «زیانمنتیا CVE-2019-5736 په رنک کې، کوم چې تاسو ته اجازه درکوي په کوربه کې د ریښو حقونه ترلاسه کړئ»
• «زیان منونکی ډاکر VM - د ډاکر او پینټیسټینګ لپاره د معما مجازی ماشین".

سرچینه: www.habr.com