مٿين Docker تصويرن جي 19٪ وٽ روٽ پاسورڊ نه آهي

آخري ڇنڇر، مئي 18، ڪينا سيڪيورٽي جي جيري گيمبلن چيڪ ڪيو Docker Hub مان 1000 سڀ کان وڌيڪ مشهور تصويرون پاسورڊ طرفان اهي روٽ استعمال ڪندڙ لاءِ استعمال ڪندا آهن. 19٪ ڪيسن ۾ اهو خالي ٿي ويو.

الپائن سان پس منظر

ننڍي مطالعي جو سبب Talos Vulnerability رپورٽ هئي جيڪا هن مهيني جي شروعات ۾ ظاهر ٿي (TALOS-2019-0782)، جنهن جا ليکڪ - سسڪو امبريلا مان پيٽر ايڊڪنز جي دريافت جي مهرباني - ٻڌايو ته ڊڪر تصويرون مشهور الپائن ڪنٽينر جي ورڇ سان گڏ روٽ پاسورڊ نه هونديون آهن:

"الپائن لينڪس ڊاکر تصويرن جا سرڪاري ورزن (v3.3 کان شروع ٿيندڙ) روٽ استعمال ڪندڙ لاءِ NULL پاسورڊ شامل آهن. ڊسمبر 2015 ۾ پيش ڪيل رجعت جي نتيجي ۾ هي نقصان ظاهر ٿيو. ان جو خلاصو ان حقيقت ڏانهن ڇڪجي ٿو ته سسٽم جيڪي الپائن لينڪس جي مسئلن واري ورزن سان گڏ ڪنٽينر ۾ رکيا ويا آهن ۽ لينڪس PAM يا ٻيو ميڪانيزم استعمال ڪري ٿو جيڪو سسٽم شيڊ فائل کي استعمال ڪري ٿو ڊيٽابيس جي طور تي تصديق لاءِ هڪ null (NULL) پاسورڊ قبول ڪري سگهي ٿو روٽ استعمال ڪندڙ لاءِ.

Alpine Docker تصويرن جا نسخا آزمايا ويا مسئلا لاءِ 3.3-3.9 شامل هئا، انهي سان گڏ جديد رليز آف ايج.

ليکڪ متاثر ٿيل استعمال ڪندڙن لاءِ ھيٺيون سفارشون ڪيون:

"روٽ اڪائونٽ کي الپائن جي مشڪلاتي نسخن مان ٺهيل Docker تصويرن ۾ واضح طور تي غير فعال ٿيڻ گهرجي. خطري جي امڪاني استحصال جو دارومدار ماحول تي آهي، ڇاڪاڻ ته ان جي ڪاميابيءَ لاءِ لينڪس PAM يا ٻيو ساڳيو ميکانيزم استعمال ڪندي هڪ ٻاهرين فارورڊ سروس يا ايپليڪيشن جي ضرورت آهي.

مسئلو هو ختم ڪيو ويو الپائن ورزن 3.6.5، 3.7.3، 3.8.4، 3.9.2 ۽ ايج (20190228 سنيپ شاٽ) ۾، ۽ متاثر ٿيل تصويرن جي مالڪن کي روٽ ان لائن سان تبصرو ڪرڻ لاءِ چيو ويو. /etc/shadow يا پڪ ڪريو ته پيڪيج غائب آهي linux-pam.

Docker Hub کان جاري

جيري گيمبلن فيصلو ڪيو ته "ڪٿي عام ڪنٽينرز ۾ نال پاس ورڊ استعمال ڪرڻ جو رواج ڪيئن ٿي سگهي ٿو" بابت پڇا ڳاڇا ڪرڻ. هن کي ڪرڻ لاء، هن هڪ ننڍڙو لکيو bash اسڪرپٽ، جنهن جو خلاصو بلڪل سادو آهي:

• Docker Hub ۾ API ڏانهن curl جي درخواست ذريعي، ڊاکر تصويرن جي هڪ فهرست جي ميزباني ڪئي وئي آهي.
• jq ذريعي اهو فيلڊ جي ترتيب سان popularity۽ حاصل ڪيل نتيجن مان، پهرين هزار باقي رهي ٿو؛
• انهن مان هر هڪ لاء، docker pull;
• Docker Hub مان حاصل ڪيل هر تصوير لاء، docker run فائل مان پهرين لائن پڙهڻ /etc/shadow;
• جيڪڏهن اسٽرنگ جي قيمت برابر آهي root:::0:::::، تصوير جو نالو الڳ فائل ۾ محفوظ ڪيو ويو آهي.

ڇا ٿيو؟ IN هن فائل لينڪس سسٽم سان مشهور ڊاکر تصويرن جي نالن سان 194 لائينون هيون، جن ۾ روٽ استعمال ڪندڙ وٽ پاسورڊ سيٽ نه آهي:

”هن لسٽ ۾ سڀ کان وڌيڪ مشهور نالن ۾ govuk/governmentpaas، hashicorp، microsoft، monsanto ۽ mesosphere هئا. ۽ kylemanna/openvpn فهرست تي سڀ کان وڌيڪ مشهور ڪنٽينر آهي، 10 ملين کان وڌيڪ ڇڪڻ سان.

بهرحال، اهو ياد رکڻ جي قابل آهي ته هي رجحان پاڻ ۾ سسٽم جي سيڪيورٽي ۾ سڌي طرح نقصان جو مطلب ناهي جيڪو انهن کي استعمال ڪري ٿو: اهو سڀ ان تي منحصر آهي ته اهي ڪيئن استعمال ڪيا ويا آهن. (مٿي ڏنل الپائن ڪيس مان تبصرو ڏسو). تنهن هوندي، اسان اڳ ۾ ئي ڏٺو آهي "هن ڪهاڻي جي اخلاقي" ڪيترائي ڀيرا: ظاهري سادگي اڪثر ڪري هڪ خرابي آهي، جنهن کي توهان کي هميشه ياد رکڻ گهرجي ۽ انهن جي نتيجن کي نظر ۾ رکڻ گهرجي جنهن جي نتيجي ۾ ٽيڪنالاجي استعمال ڪرڻ لاء توهان جي منظرنامي ۾.

پي ايس

اسان جي بلاگ تي پڻ پڙهو:

• «Docker Hub تي تصويرن ۾ بنيادي آپريٽنگ سسٽم تي شماريات"؛
• «ڊاکر ۽ ڪبرنيٽس سيڪيورٽي گهربل ماحول ۾"؛
• «نقصانڪار CVE-2019-5736 runc ۾، ميزبان تي روٽ حق حاصل ڪرڻ جي اجازت ڏئي ٿي"؛
• «Vulnerable Docker VM - Docker ۽ pentesting لاءِ هڪ پزل ورچوئل مشين».

جو ذريعو: www.habr.com