مٿين 19.4 ڊڪر ڪنٽينرز جو 1000٪ خالي روٽ پاسورڊ تي مشتمل آهي

جيري گيمبلين فيصلو ڪيو ته اهو معلوم ڪيو ويو ته نئين سڃاڻپ ڪيئن وسيع آهي مسئلو الپائن ورهائڻ جي Docker تصويرن ۾، روٽ استعمال ڪندڙ لاءِ خالي پاسورڊ بيان ڪرڻ سان لاڳاپيل. Docker Hub فهرست مان هزارين مشهور ڪنٽينرز جو تجزيو ڏيکاريائين، ڇا ۾ 194 انهن مان (19.4٪) هڪ خالي پاسورڊ روٽ لاءِ مقرر ڪيو ويو آهي اڪائونٽ کي بند ڪرڻ کان سواءِ (“root:::0:::::” بدران “root:!::0:::::”).

جيڪڏهن ڪنٽينر ڇانو ۽ لينڪس-پام پيڪيجز استعمال ڪري ٿو، خالي روٽ پاسورڊ استعمال ڪريو اها ڳالهه جي اجازت ڏئي ڪنٽينر جي اندر پنهنجا استحقاق وڌايو جيڪڏهن توهان وٽ ڪنٽينر تائين غير استحقاق واري رسائي آهي يا ڪنٽينر ۾ هلندڙ غير مراعات يافته خدمت ۾ ڪنهن خطري جو استحصال ڪرڻ کان پوءِ. توھان پڻ ڪنٽينر سان روٽ حقن سان ڳنڍي سگھو ٿا جيڪڏھن توھان وٽ انفراسٽرڪچر تائين رسائي آھي، يعني. TTY سان ٽرمينل ذريعي ڳنڍڻ جي صلاحيت /etc/securetty لسٽ ۾ بيان ڪيل آهي. هڪ خالي پاسورڊ سان لاگ ان SSH ذريعي بلاڪ ڪيو ويو آهي.

جي وچ ۾ سڀ کان وڌيڪ مشهور ڪنٽينر خالي روٽ پاسورڊ سان آهن microsoft/azure-cli, kylemanna/openvpn, governmentpaas/s3-resource, phpmyadmin/phpmyadmin, mesosphere/aws-cli и hashicorp/terraform، جنهن کي 10 ملين کان مٿي ڊائون لوڊ ڪيو ويو آهي. ڪنٽينر پڻ نمايان ٿيل آهن
govuk/gemstash-alpine (500 هزار) monsantoco/logstash (5 ملين)
avhost/docker-matrix-riot (1 ملين)
azuresdk/azure-cli-python (5 ملين)
и ciscocloud/haproxy-consul (1 ملين). لڳ ڀڳ اهي سڀئي ڪنٽينر الپائن تي ٻڌل آهن ۽ شيڊ ۽ لينڪس-پام پيڪيجز استعمال نٿا ڪن. صرف استثنا آهي Microsoft/azure-cli Debian جي بنياد تي.

جو ذريعو: opennet.ru