පසුගිය සෙනසුරාදා, මැයි 18, කෙන ආරක්ෂක ජෙරී ගැම්බ්ලින්
ඇල්පයින් සමග පසුබිම
කුඩා අධ්යයනයට හේතුව මෙම මස මුලදී දර්ශනය වූ Talos අවදානම් වාර්තාවයි (
“Alpine Linux Docker පින්තූරවල නිල අනුවාදවල (v3.3 සිට ආරම්භ වන) root පරිශීලකයා සඳහා NULL මුරපදයක් අඩංගු වේ. 2015 දෙසැම්බරයේ ඉදිරිපත් කරන ලද ප්රතිගමනයක ප්රතිඵලයක් ලෙස මෙම අවදානම් තත්ත්වය දිස් විය. Alpine Linux හි ගැටළු සහගත අනුවාද සහිත බහාලුමක් තුළ යොදවා ඇති පද්ධති සහ Linux PAM හෝ පද්ධති සෙවනැලි ගොනුව සත්යාපනය සඳහා දත්ත සමුදායක් ලෙස භාවිතා කරන වෙනත් යාන්ත්රණයක් භාවිතා කිරීමෙන් root පරිශීලකයා සඳහා ශුන්ය (NULL) මුරපදයක් පිළිගත හැකි බව එහි සාරය පහත වැටේ.
ගැටලුව සඳහා පරීක්ෂා කරන ලද ඇල්පයින් ඩොකර් රූපවල අනුවාද 3.3-3.9 ඇතුළුව, එජ් හි නවතම නිකුතුව ද විය.
කතුවරුන් බලපෑමට ලක් වූ පරිශීලකයින් සඳහා පහත නිර්දේශ ඉදිරිපත් කර ඇත:
“ඇල්පයින් හි ගැටලුකාරී අනුවාදවලින් ගොඩනගා ඇති ඩොකර් රූපවල මූල ගිණුම පැහැදිලිවම අක්රිය කළ යුතුය. එහි සාර්ථකත්වයට Linux PAM හෝ වෙනත් සමාන යාන්ත්රණයක් භාවිතා කරමින් බාහිරව යොමු කරන ලද සේවාවක් හෝ යෙදුමක් අවශ්ය වන බැවින්, අවදානම සූරාකෑම පරිසරය මත රඳා පවතී.
ගැටලුව විය /etc/shadow
නැතහොත් පැකේජය අතුරුදහන් වී ඇති බවට වග බලා ගන්න linux-pam
.
Docker Hub වෙතින් දිගටම
ජෙරී ගැම්බ්ලින් "කන්ටේනර් තුළ ශුන්ය මුරපද භාවිතා කිරීමේ පුරුද්ද කෙතරම් සුලභ විය හැකිද" යන්න පිළිබඳව විමසීමට තීරණය කළේය. මෙය සිදු කිරීම සඳහා ඔහු කුඩා ලිපියක් ලිවීය
- Docker Hub හි API වෙත curl ඉල්ලීමක් හරහා, එහි සත්කාරකත්වය දක්වන Docker පින්තූර ලැයිස්තුවක් ඉල්ලා ඇත;
- jq හරහා එය ක්ෂේත්ර අනුව වර්ග කරයි
popularity
, සහ ලබාගත් ප්රතිඵල වලින් පළමු දහස ඉතිරිව ඇත; - ඔවුන් එක් එක් සඳහා,
docker pull
; - Docker Hub වෙතින් ලැබෙන සෑම රූපයක් සඳහාම,
docker run
ගොනුවේ පළමු පේළිය කියවීම/etc/shadow
; - තන්තු අගය සමාන නම්
root:::0:::::
, රූපයේ නම වෙනම ගොනුවකට සුරැකේ.
සිදුවුයේ කුමක් ද? තුල
“මෙම ලැයිස්තුවේ ඇති වඩාත්ම ප්රසිද්ධ නම් අතර govuk/governmentpaas, hashicorp, microsoft, monsanto සහ mesosphere විය. සහ kylemanna/openvpn යනු මිලියන 10කට අධික ඇදීම් සහිත ලැයිස්තුවේ වඩාත්ම ජනප්රිය බහාලුමයි.
කෙසේ වෙතත්, මෙම සංසිද්ධිය විසින්ම ඒවා භාවිතා කරන පද්ධතිවල ආරක්ෂාව පිළිබඳ සෘජු අවදානමක් අදහස් නොවන බව සිහිපත් කිරීම වටී: ඒ සියල්ල රඳා පවතින්නේ ඒවා නිවැරදිව භාවිතා කරන ආකාරය මත ය. (ඉහත ඇල්පයින් නඩුවේ අදහස බලන්න). කෙසේ වෙතත්, අපි දැනටමත් “මෙම කතාවේ සදාචාරය” බොහෝ වාරයක් දැක ඇත්තෙමු: පෙනෙන සරල බව බොහෝ විට අවාසි ඇත, ඔබ සැමවිටම මතක තබා ගත යුතු අතර තාක්ෂණය භාවිතා කිරීම සඳහා ඔබේ අවස්ථා වලදී එහි ප්රතිවිපාක සැලකිල්ලට ගත යුතුය.
ප්රාදේශීය සභා
අපගේ බ්ලොග් අඩවියේ ද කියවන්න:
- «
Docker Hub හි රූපවල මූලික මෙහෙයුම් පද්ධති පිළිබඳ සංඛ්යාලේඛන »; - «
ආරක්ෂාව ඉල්ලන පරිසරයක ඩොකර් සහ කුබර්නෙට්ස් »; - «
අවදානම් CVE-2019-5736 ධාවනයේදී, සත්කාරකයේ මූල අයිතිවාසිකම් ලබා ගැනීමට ඉඩ සලසයි »; - «
Vulnerable Docker VM - Docker සහ pentesting සඳහා ප්රහේලිකා අතථ්ය යන්ත්රයකි ".
මූලාශ්රය: www.habr.com