ProHoster > blogg > internetnyheter > 19.4 % av de 1000 översta Docker-containrarna innehåller ett tomt root-lösenord
19.4 % av de 1000 översta Docker-containrarna innehåller ett tomt root-lösenord
Jerry Gamblin bestämde sig för att ta reda på hur utbredd den nyligen identifierade ett problem i Docker-bilder av den alpina distributionen, associerade med att ange ett tomt lösenord för root-användaren. Analys av tusentals av de mest populära behållarna från Docker Hub-katalogen visade, vad i 194 av dessa (19.4%) sätts ett tomt lösenord för root utan att låsa kontot ("root:::0:::::" istället för "root:!::0:::::").
Om behållaren använder paketen shadow och linux-pam, använd ett tomt root-lösenord det gör eskalera dina privilegier inuti behållaren om du har oprivilegierad åtkomst till behållaren eller efter att ha utnyttjat en sårbarhet i en oprivilegierad tjänst som körs i behållaren. Du kan även ansluta till containern med root-rättigheter om du har tillgång till infrastrukturen, d.v.s. möjlighet att ansluta via terminal till den TTY som anges i /etc/securetty-listan. Inloggning med ett tomt lösenord blockeras via SSH.