hasil tina alat uji pikeun ngaidentipikasi kerentanan anu teu ditambal sareng ngaidentipikasi masalah kaamanan dina gambar wadahna Docker terasing. Inok nunjukkeun yén 4 ti 6 scanner gambar Docker anu dipikanyaho ngandung kerentanan kritis anu ngamungkinkeun pikeun nyerang scanner sorangan langsung sareng ngahontal palaksanaan kode na dina sistem, dina sababaraha kasus (contona, nalika nganggo Snyk) kalayan hak akar.
Pikeun nyerang, panyerang ngan ukur kedah ngamimitian pariksa Dockerfile atanapi manifest.json na, anu kalebet metadata anu dirarancang khusus, atanapi nempatkeun file Podfile sareng gradlew di jero gambar. Mangpaat prototipe pikeun sistem
, ,
и
. bungkusan némbongkeun kaamanan pangalusna , asalna ditulis kalawan kaamanan dina pikiran. Henteu aya masalah anu diidentipikasi dina pakét ogé. . Hasilna, disimpulkeun yén scanner wadahna Docker kedah dijalankeun dina lingkungan terasing atanapi ngan ukur dianggo pikeun mariksa gambarna sorangan, sareng ati-ati kedah dilaksanakeun nalika nyambungkeun alat sapertos ka sistem integrasi kontinyu otomatis.
Dina FOSSA, Snyk sareng WhiteSource, kerentanan dikaitkeun sareng nelepon manajer pakét éksternal pikeun nangtoskeun katergantungan sareng ngamungkinkeun anjeun ngatur palaksanaan kode anjeun ku netepkeun sentuhan sareng paréntah sistem dina file. и .
Snyk na WhiteSource Sajaba miboga , kalayan organisasi ngajalankeun paréntah sistem nalika nga-parsing Dockerfile (contona, dina Snyk, ngaliwatan Dockefile, mungkin pikeun ngagentos utilitas /bin/ls anu disebat ku scanner, sareng dina WhiteSurce, éta mungkin pikeun ngagentos kode ngaliwatan argumen dina bentuk "gema ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Kerentanan jangkar ngagunakeun utiliti pikeun gawé bareng gambar docker. Operasi digodog handap pikeun nambahkeun parameter kawas '"os": "$(touch hacked_anchore)"' kana file manifest.json, nu diganti nalika nelepon skopeo tanpa escaping ditangtoskeun (ngan ";&<>" karakter dipotong kaluar, tapi konstruksi "$()").
Panulis anu sami ngalaksanakeun kajian ngeunaan éféktivitas ngidentipikasi kerentanan anu teu ditambal nganggo panyeken kaamanan wadah Docker sareng tingkat positip palsu (, , ). Di handap ieu hasil nguji 73 gambar ngandung kerentanan dipikawanoh, sarta ogé evaluate efektivitas nangtukeun ayana aplikasi has dina gambar (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
sumber: opennet.ru