rezultate orodij za preizkušanje za odkrivanje nezakrpanih ranljivosti in odkrivanje varnostnih težav v izoliranih slikah vsebnika Docker. Revizija je pokazala, da so 4 od 6 znanih slikovnih bralnikov Docker vsebovali kritične ranljivosti, ki so omogočile neposreden napad na sam skener in doseganje izvajanja njegove kode v sistemu, v nekaterih primerih (na primer pri uporabi Snyk) s korenskimi pravicami.
Za napad mora napadalec preprosto sprožiti preverjanje svoje datoteke Dockerfile ali manifest.json, ki vključuje posebej oblikovane metapodatke, ali postaviti datoteke Podfile in gradlew znotraj slike. Izkoriščanje prototipov za sisteme
, ,
и
. Paket je pokazal najboljšo varnost , prvotno napisan z mislijo na varnost. Tudi v paketu niso bile ugotovljene nobene težave. . Posledično je bilo sklenjeno, da je treba skenerje vsebnikov Docker izvajati v izoliranih okoljih ali uporabljati samo za preverjanje lastnih slik in da je potrebna previdnost pri povezovanju takšnih orodij z avtomatiziranimi sistemi za neprekinjeno integracijo.
V FOSSA, Snyk in WhiteSource je bila ranljivost povezana s klicanjem zunanjega upravitelja paketov za določitev odvisnosti in vam je omogočila organiziranje izvajanja vaše kode s podajanjem ukazov na dotik in sistemskih ukazov v datotekah. и .
Snyk in WhiteSource sta imela dodatno , z organizacijo zagona sistemskih ukazov pri razčlenjevanju datoteke Dockerfile (na primer v Snyku je bilo prek Dockefile mogoče zamenjati pripomoček /bin/ls, ki ga kliče skener, v WhiteSurce pa je bilo mogoče zamenjati kodo prek argumentov v obrazec “echo ';dotaknite se /tmp/hacked_whitesource_pip;=1.0 ′").
Ranljivost sidra z uporabo pripomočka za delo z docker slikami. Operacija se je zmanjšala na dodajanje parametrov, kot je '"os": "$(touch hacked_anchore)"' v datoteko manifest.json, ki so nadomeščeni pri klicu skopeo brez ustreznega ubežanja (samo znaki ";&<>" so bili izrezani, ampak konstrukcija "$( )").
Isti avtor je izvedel študijo o učinkovitosti prepoznavanja nezakrpanih ranljivosti z uporabo varnostnih skenerjev vsebnika Docker in ravni lažnih pozitivnih rezultatov (, , ). Spodaj so rezultati testiranja 73 slik, ki vsebujejo znane ranljivosti, in tudi ocena učinkovitosti ugotavljanja prisotnosti tipičnih aplikacij v slikah (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Vir: opennet.ru