19% sawirada Docker ee sare ma laha furaha sirta ah

Sabtidii hore, Maajo 18, Jerry Gamblin oo ka tirsan Amniga Kenna la hubiyay 1000ka sawir ee ugu caansan Docker Hub ee erayga sirta ah ee ay u isticmaalaan xididka isticmaalaha. 19% kiisaska waxay noqdeen faaruq.

Asalkii hore oo leh Alpine

Sababta daraasadda yar waxay ahayd Warbixinta Nuglaanta Talos ee soo baxday horraantii bishan (TALOS-2019-0782), qorayaasha kuwaas oo - mahadnaqa helitaanka Peter Adkins oo ka socda Dalladda Cisco - ayaa sheegay in sawirada Docker ee leh qaybinta weelka Alpine ee caanka ah aysan lahayn furaha sirta ah:

"Noocayada rasmiga ah ee sawirada Alpine Linux Docker (laga bilaabo v3.3) waxay ka kooban yihiin erayga sirta ah ee NULL ee isticmaalaha xididka. Nuglaantani waxay u muuqatay natiijada dib-u-dhac ku yimid Diisambar 2015. Nuxurkeedu wuxuu hoos ugu dhacayaa xaqiiqda ah in nidaamyada la geeyey noocyada dhibaatada leh ee Alpine Linux ee weelka ku jira iyo isticmaalka Linux PAM ama hab kale oo isticmaala faylka nidaamka hadhka sida xog ururin si loo xaqiijiyo waxay aqbali karaan ereyga null (NULL) ee isticmaalaha xididka.

Noocyada sawirada Alpine Docker ee lagu tijaabiyay dhibaatadu waxay ahaayeen 3.3-3.9 loo dhan yahay, iyo sidoo kale sii dayntii ugu dambeysay ee geesta.

Qorayaashu waxay soo jeedintan u sameeyeen isticmaalayaasha ay saamaysay:

"Akoonka xididka waa in si cad loogu naafo yahay sawirada Docker ee laga dhisay noocyada dhibaatada leh ee Alpine. Ka faa'iidaysiga u nuglaanshaha suurtogalka ah waxay ku xidhan tahay deegaanka, maadaama guusheeda ay u baahan tahay adeeg dibadda laga soo gudbiyo ama codsi la isticmaalayo Linux PAM ama hab kale oo la mid ah.

Dhibaatadu waxay ahayd meesha laga saaray ee noocyada Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 iyo gees (20190228 sawir qaade), iyo milkiilayaasha sawirada ay saameeyeen ayaa la waydiistay inay faallo ka bixiyaan xariiqda xididka /etc/shadow ama hubi in xirmada maqan tahay linux-pam.

Ka sii socota Docker Hub

Jerry Gamblin waxa uu go'aansaday in uu wax ka weydiiyo "sida caadiga ah ee isticmaalka furaha sirta ah ee weelku uu noqon karo." Si taas loo sameeyo, wuxuu qoray wax yar qoraalka bash, oo nuxurkeedu aad u fudud yahay:

• Codsiga curdanka ah ee API ee Docker Hub, liiska sawirada Docker ee halkaas lagu martigeliyay ayaa la codsanayaa;
• iyada oo loo marayo jq waxay ku kala soocdaa goob ahaan popularity, iyo natiijooyinka la helay, kunkii ugu horreeyay ayaa hadhay;
• mid kasta oo iyaga ka mid ah, docker pull;
• sawir kasta oo laga helo Docker Hub, docker run akhrinta safka koowaad ee faylka /etc/shadow;
• haddii qiimaha xadhiggu la siman yahay root:::0:::::, magaca sawirka waxa lagu kaydiyaa fayl gaar ah.

Maxaa dhacay? IN faylkan Waxaa jiray 194 khad oo leh magacyada sawirada caanka ah ee Docker ee leh nidaamyada Linux, kaas oo isticmaala xididku uusan lahayn lambarka sirta ah:

Magacyada ugu caansan ee liiskan ku jira waxaa ka mid ah govuk/governmentpaas, hashicorp, microsoft, monsanto iyo mesosphere. Iyo kylemanna/openvpn waa weelka ugu caansan liiska, oo leh in ka badan 10 milyan oo jiidis."

Si kastaba ha ahaatee, waxaa habboon in la xasuusto in dhacdadani lafteeda aysan macnaheedu ahayn nuglaanta tooska ah ee amniga nidaamyada isticmaala: dhammaan waxay kuxirantahay sida saxda ah ee loo isticmaalo. (fiiri faallooyinka kiiska Alpine ee sare). Si kastaba ha ahaatee, waxaan horay u aragnay "akhlaaqda sheekadan" marar badan: fududeynta muuqata waxay badanaa leedahay hoos u dhac, taas oo ah inaad had iyo jeer xasuusato oo aad tixgeliso cawaaqibka taas oo ku jirta xaaladahaaga isticmaalka tignoolajiyada.

PS

Sidoo kale ka akhri boggayaga:

• «Tirakoobyada nidaamka hawlgalka saldhigyada ee sawirada Docker Hub";
• «Docker iyo Kubernetes oo ku yaal deegaan ammaan-doon ah";
• «Nuglaanta CVE-2019-5736 gudaha runc, taasoo u oggolaanaysa inay helaan xuquuqaha xididka martida loo yahay";
• «Docker VM oo nugul - mashiinka farsamada gacanta ee Docker iyo tijaabinta".

Source: www.habr.com