ඉහළම Docker පින්තූරවලින් 19%කට root මුරපදයක් නොමැත

පසුගිය සෙනසුරාදා, මැයි 18, කෙන ආරක්ෂක ජෙරී ගැම්බ්ලින් පරීක්ෂා කළා ඔවුන් root පරිශීලකයා සඳහා භාවිතා කරන මුරපදය අනුව Docker Hub වෙතින් වඩාත්ම ජනප්‍රිය පින්තූර 1000. නඩු වලින් 19% ක් එය හිස් බවට පත් විය.

ඇල්පයින් සමග පසුබිම

කුඩා අධ්‍යයනයට හේතුව මෙම මස මුලදී දර්ශනය වූ Talos අවදානම් වාර්තාවයි (TALOS-2019-0782), එහි කතුවරුන් - සිස්කෝ කුඩයෙන් පීටර් ඇඩ්කින්ස් සොයා ගැනීමට ස්තූතියි - ජනප්‍රිය ඇල්පයින් බහාලුම් බෙදා හැරීම සහිත ඩොකර් පින්තූරවල මූල මුරපදයක් නොමැති බව වාර්තා කළේය:

“Alpine Linux Docker පින්තූරවල නිල අනුවාදවල (v3.3 සිට ආරම්භ වන) root පරිශීලකයා සඳහා NULL මුරපදයක් අඩංගු වේ. 2015 දෙසැම්බරයේ ඉදිරිපත් කරන ලද ප්‍රතිගමනයක ප්‍රතිඵලයක් ලෙස මෙම අවදානම් තත්ත්වය දිස් විය. Alpine Linux හි ගැටළු සහගත අනුවාද සහිත බහාලුමක් තුළ යොදවා ඇති පද්ධති සහ Linux PAM හෝ පද්ධති සෙවනැලි ගොනුව සත්‍යාපනය සඳහා දත්ත සමුදායක් ලෙස භාවිතා කරන වෙනත් යාන්ත්‍රණයක් භාවිතා කිරීමෙන් root පරිශීලකයා සඳහා ශුන්‍ය (NULL) මුරපදයක් පිළිගත හැකි බව එහි සාරය පහත වැටේ.

ගැටලුව සඳහා පරීක්‍ෂා කරන ලද ඇල්පයින් ඩොකර් රූපවල අනුවාද 3.3-3.9 ඇතුළුව, එජ් හි නවතම නිකුතුව ද විය.

කතුවරුන් බලපෑමට ලක් වූ පරිශීලකයින් සඳහා පහත නිර්දේශ ඉදිරිපත් කර ඇත:

“ඇල්පයින් හි ගැටලුකාරී අනුවාදවලින් ගොඩනගා ඇති ඩොකර් රූපවල මූල ගිණුම පැහැදිලිවම අක්‍රිය කළ යුතුය. එහි සාර්ථකත්වයට Linux PAM හෝ වෙනත් සමාන යාන්ත්‍රණයක් භාවිතා කරමින් බාහිරව යොමු කරන ලද සේවාවක් හෝ යෙදුමක් අවශ්‍ය වන බැවින්, අවදානම සූරාකෑම පරිසරය මත රඳා පවතී.

ගැටලුව විය ඉවත් කළා ඇල්පයින් අනුවාදවල 3.6.5, 3.7.3, 3.8.4, 3.9.2 සහ එජ් (20190228 ස්නැප්ෂොට්), සහ බලපෑමට ලක් වූ පින්තූරවල හිමිකරුවන්ට රූට් සමඟ රේඛාව ගැන අදහස් දැක්වීමට ඉල්ලා සිටියේය. /etc/shadow නැතහොත් පැකේජය අතුරුදහන් වී ඇති බවට වග බලා ගන්න linux-pam.

Docker Hub වෙතින් දිගටම

ජෙරී ගැම්බ්ලින් "කන්ටේනර් තුළ ශුන්‍ය මුරපද භාවිතා කිරීමේ පුරුද්ද කෙතරම් සුලභ විය හැකිද" යන්න පිළිබඳව විමසීමට තීරණය කළේය. මෙය සිදු කිරීම සඳහා ඔහු කුඩා ලිපියක් ලිවීය bash පිටපත, එහි සාරය ඉතා සරල ය:

• Docker Hub හි API වෙත curl ඉල්ලීමක් හරහා, එහි සත්කාරකත්වය දක්වන Docker පින්තූර ලැයිස්තුවක් ඉල්ලා ඇත;
• jq හරහා එය ක්ෂේත්‍ර අනුව වර්ග කරයි popularity, සහ ලබාගත් ප්රතිඵල වලින් පළමු දහස ඉතිරිව ඇත;
• ඔවුන් එක් එක් සඳහා, docker pull;
• Docker Hub වෙතින් ලැබෙන සෑම රූපයක් සඳහාම, docker run ගොනුවේ පළමු පේළිය කියවීම /etc/shadow;
• තන්තු අගය සමාන නම් root:::0:::::, රූපයේ නම වෙනම ගොනුවකට සුරැකේ.

සිදුවුයේ කුමක් ද? තුල මෙම ගොනුව ලිනක්ස් පද්ධති සමඟ ජනප්‍රිය ඩොකර් පින්තූරවල නම් සහිත පේළි 194 ක් තිබූ අතර, එහි මූල පරිශීලකයාට මුරපද කට්ටලයක් නොමැත:

“මෙම ලැයිස්තුවේ ඇති වඩාත්ම ප්‍රසිද්ධ නම් අතර govuk/governmentpaas, hashicorp, microsoft, monsanto සහ mesosphere විය. සහ kylemanna/openvpn යනු මිලියන 10කට අධික ඇදීම් සහිත ලැයිස්තුවේ වඩාත්ම ජනප්‍රිය බහාලුමයි.

කෙසේ වෙතත්, මෙම සංසිද්ධිය විසින්ම ඒවා භාවිතා කරන පද්ධතිවල ආරක්ෂාව පිළිබඳ සෘජු අවදානමක් අදහස් නොවන බව සිහිපත් කිරීම වටී: ඒ සියල්ල රඳා පවතින්නේ ඒවා නිවැරදිව භාවිතා කරන ආකාරය මත ය. (ඉහත ඇල්පයින් නඩුවේ අදහස බලන්න). කෙසේ වෙතත්, අපි දැනටමත් “මෙම කතාවේ සදාචාරය” බොහෝ වාරයක් දැක ඇත්තෙමු: පෙනෙන සරල බව බොහෝ විට අවාසි ඇත, ඔබ සැමවිටම මතක තබා ගත යුතු අතර තාක්‍ෂණය භාවිතා කිරීම සඳහා ඔබේ අවස්ථා වලදී එහි ප්‍රතිවිපාක සැලකිල්ලට ගත යුතුය.

ප්රාදේශීය සභා

අපගේ බ්ලොග් අඩවියේ ද කියවන්න:

• «Docker Hub හි රූපවල මූලික මෙහෙයුම් පද්ධති පිළිබඳ සංඛ්‍යාලේඛන»;
• «ආරක්‍ෂාව ඉල්ලන පරිසරයක ඩොකර් සහ කුබර්නෙට්ස්»;
• «අවදානම් CVE-2019-5736 ධාවනයේදී, සත්කාරකයේ මූල අයිතිවාසිකම් ලබා ගැනීමට ඉඩ සලසයි»;
• «Vulnerable Docker VM - Docker සහ pentesting සඳහා ප්‍රහේලිකා අතථ්‍ය යන්ත්‍රයකි".

මූලාශ්රය: www.habr.com