19% o ata pito i luga Docker e leai se faʻaupuga aʻa

O le Aso Toonai na tea nei, aso 18 o Me, Jerry Gamblin o le Kenna Security siaki 1000 o ata sili ona lauiloa mai Docker Hub e faʻavae i luga o le aʻa upu latou te faʻaogaina. I le 19% o mataupu sa gaogao.

Tala'aga ma Alpine

O le mafuaʻaga o le suʻesuʻega laʻititi o le Talos Vulnerability Report na faʻaalia i le amataga o lenei masina (TALOS-2019-0782), o tusitala - faʻafetai i le mauaina o Peter Adkins mai Cisco Umbrella - na lipotia mai o ata Docker ma le lauiloa Alpine container distribution e leai se faʻaupuga aʻa:

"O faʻamatalaga aloaia o ata Alpine Linux Docker (talu mai le v3.3) o loʻo i ai se faʻaupuga NULL mo le tagata faʻaoga aʻa. O lenei fa'aletonu na afua mai i se fa'aletonu na fa'alauiloa ia Tesema 2015. O le autu o lenei mea o faiga faʻapipiʻi ma faʻafitauli faʻafitauli o Alpine Linux i totonu o se atigipusa ma faʻaogaina le Linux PAM poʻo se isi masini e faʻaogaina ai le faila ata lafoia e avea o se faʻamaumauga faʻamaonia e mafai ona talia se faʻaupuga NULL mo le aʻa.

O faʻataʻitaʻiga o ata Docker ma Alpine na faʻataʻitaʻiina mo le faʻafitauli o le 3.3-3.9 aofia ai, faʻapea foʻi ma le faʻasalalauga lata mai o le pito.

Na faia e le au tusitala le fautuaga lenei mo tagata faʻaoga afaina:

"O le aʻa tala e tatau ona matua le atoatoa i ata Docker na fausia mai faʻafitauli faʻafitauli o Alpine. O le fa'aogaina o le fa'aletonu e fa'alagolago i le si'osi'omaga, talu ai o lona manuia e mana'omia ai se auaunaga e tu'uina atu i fafo po'o se fa'aoga e fa'aaoga ai le Linux PAM po'o isi faiga fa'apena.

O le faafitauli sa aveesea i Alpine versions 3.6.5, 3.7.3, 3.8.4, 3.9.2 ma le pito (20190228 snapshot), ma o tagata e ona ata na afaina na talosagaina e faʻaalia le laina ma aʻa i totonu. /etc/shadow pe fa'amautinoa ua misi le afifi linux-pam.

Fa'aauau ma Docker Hub

Na filifili Jerry Gamblin e fia iloa e uiga i le "pe o le a le masani o le faʻaaogaina o upu faʻamaonia i totonu o pusa." Mo lenei faamoemoe na ia tusia ai se tamai tusi Tusitusi Bash, o lona uiga e matua faigofie lava:

• e ala i se talosaga curl i le API i Docker Hub, o se lisi o ata Docker talimalo iina e talosagaina;
• e ala i le jq o loʻo faʻavasega i le fanua popularity, ma o taunuuga na maua, o le afe muamua o loo totoe;
• mo i latou taitasi ua faataunuuina docker pull;
• mo ata taʻitasi na maua mai le Docker Hub ua faʻatinoina docker run ma le faitauina o le laina muamua mai le faila /etc/shadow;
• pe afai o le tau o le manoa e tutusa ma root:::0:::::, o le igoa o le ata e teuina i se faila ese.

O le a le mea ua tupu? IN lenei faila Sa i ai laina 194 ma igoa o ata lauiloa Docker ma faiga Linux, lea e leai se seti o upu faʻapipiʻi a le tagata faʻaoga aʻa:

“I totonu o igoa sili ona lauiloa i luga o lenei lisi o govuk/governmentpaas, hashicorp, microsoft, monsanto ma mesosphere. Ma o le kylemanna/openvpn o le pusa sili ona lauiloa i luga o le lisi, o lona aofaʻi atoa e sili atu i le 10 miliona toso.

E taua le manatua, peitaʻi, o lenei mea faʻafuaseʻi e le o lona uiga o se faʻafitauli tuusaʻo i le saogalemu o faiga faʻaogaina: e faʻalagolago lava i le auala tonu e faʻaaogaina ai. (silasila i faʻamatalaga mai le Alpine case i luga). Ae ui i lea, ua matou vaʻaia le "amio o le tala" i le tele o taimi: o le faigofie e masani ona i ai se faʻaletonu, lea e tatau ona manatua pea ma o aʻafiaga e amanaʻia i au faʻataʻitaʻiga faʻaoga tekonolosi.

SALA

Faitau foi i la matou blog:

• «Fuainumera i luga ole faiga faʻaogaina i ata ile Docker Hub";
• «Docker ma Kubernetes i totonu o siosiomaga saogalemu";
• «Vulnerability CVE-2019-5736 i le runc, lea e mafai ai ona e mauaina aia tatau i luga o le talimalo";
• «Vulnerable Docker VM - o se paso masini masini mo Docker ma pentesting".

puna: www.habr.com