د غوره 19.4 ډاکر کانټینرونو 1000٪ خالي روټ پاسورډ لري

جیری ګمبلین پریکړه وکړه چې معلومه کړي چې نوي پیژندل شوي څومره پراخه دي ستونزه د الپین توزیع ډاکر عکسونو کې ، د روټ کارونکي لپاره د خالي پاسورډ مشخص کولو سره تړاو لري. د ډاکر هب کتلاګ څخه د زرګونو خورا مشهور کانټینرونو تحلیل ښودل، په څه کې 194 له دې څخه (19.4٪) یو خالي پټنوم د روټ لپاره ټاکل شوی پرته له دې چې حساب بند کړي ("root:::0::::::" پرځای د "root:!::0:::::").

که کانټینر د سیوري او لینکس-پام کڅوړې کاروي، د روټ خالي پټنوم وکاروئ دا اجازه ورکوي په کانتینر کې دننه خپل امتیازات زیات کړئ که چیرې تاسو کانټینر ته غیرمستقیم لاسرسی لرئ یا په کانټینر کې په غیر مراعات شوي خدمت کې د زیان څخه ګټه پورته کولو وروسته. تاسو کولی شئ د کانټینر سره د ریښو حقونو سره وصل شئ که تاسو زیربنا ته لاسرسی لرئ ، د مثال په توګه. د ټرمینل له لارې د TTY سره د نښلولو وړتیا چې په /etc/securetty لیست کې مشخص شوي. د خالي پاسورډ سره ننوتل د SSH له لارې بند شوي.

تر ټولو مشهور کانټینرونه د خالي روټ پاسورډ سره دي microsoft/azure-cli, kylemanna/openvpn, governmentpaas/s3-resource, phpmyadmin/phpmyadmin, mesosphere/aws-cli и hashicorp/terraform، کوم چې له 10 ملیون څخه ډیر ډاونلوډونه لري. کانټینرونه هم روښانه شوي
govuk/gemstash-alpine (۵۰۰ زره) monsantoco/logstash (۳۵۱ میلیونه)
avhost/docker-matrix-riot (۳۵۱ میلیونه)
azuresdk/azure-cli-python (۱۴۸.۷ میلیونه)
и ciscocloud/haproxy-consul (1 ملیون). نږدې ټول دا کانټینرونه د الپین پر بنسټ دي او د سیوري او لینکس-پام کڅوړې نه کاروي. یوازینی استثنا د دیبیان پراساس مایکروسافټ/ازور-کلی دی.

سرچینه: opennet.ru