19.4% tina luhureun 1000 wadah Docker ngandung kecap akses root kosong

Jerry Gamblin mutuskeun pikeun manggihan sabaraha nyebar karek dicirikeun masalahna dina gambar Docker tina sebaran Alpine, pakait sareng nangtukeun hiji sandi kosong pikeun pamaké root. Analisis rébuan wadah anu pang populerna tina katalog Docker Hub nunjukkeun, naon di 194 tina ieu (19.4%) kecap akses kosong disetel pikeun root tanpa ngonci akun ("root::: 0:::::" tinimbang "root:!:: 0:::::").

Upami wadahna nganggo bungkusan bayangan sareng linux-pam, nganggo kecap konci root kosong Hal ieu ngamungkinkeun naékkeun hak istimewa anjeun dina wadahna upami anjeun gaduh aksés anu teu dipikabutuh kana wadahna atanapi saatos ngamangpaatkeun kerentanan dina jasa anu teu dipikabutuh anu dijalankeun dina wadahna. Anjeun oge bisa nyambung ka wadahna kalawan hak root lamun boga aksés ka infrastruktur, i.e. kamampuhan pikeun nyambung via terminal ka TTY dieusian dina /etc/securetty daptar. Login sareng kecap akses kosong diblokir via SSH.

Paling populer di kalangan wadahna kalawan sandi root kosong anu microsoft / azure-cli, kylemanna/openvpn, governmentpaas / s3-sumberdaya, phpmyadmin/phpmyadmin, mesosfir / aws-cli и hashicorp / terraform, nu boga leuwih 10 juta undeuran. Wadahna ogé disorot
govuk / gemstash-alpine (500 rébu), monsantoco / logstash (5 juta),
avhost / docker-matrix-karusuhan (1 juta),
azuresdk / azure-cli-python (5 juta)
и ciscocloud / haproxy-konsul (1 juta). Ampir kabéh peti ieu dumasar kana Alpine jeung teu make kalangkang jeung linux-pam bungkusan. Hiji-hijina pengecualian nyaéta microsoft / azure-cli dumasar kana Debian.

sumber: opennet.ru