resultat från testverktyg för att identifiera opatchade sårbarheter och identifiera säkerhetsproblem i isolerade Docker-containeravbildningar. Granskningen visade att 4 av 6 kända Docker-bildskannrar innehöll kritiska sårbarheter som gjorde det möjligt att attackera själva skannern direkt och uppnå exekvering av dess kod på systemet, i vissa fall (till exempel vid användning av Snyk) med root-rättigheter.
För att attackera behöver en angripare helt enkelt initiera en kontroll av sin Dockerfile eller manifest.json, som inkluderar specialdesignade metadata, eller placera Podfile- och gradlew-filer inuti bilden. Utnyttja prototyper för system
, ,
и
. Paketet visade den bästa säkerheten , ursprungligen skriven med säkerhet i åtanke. Inga problem identifierades i paketet heller. . Som ett resultat drogs slutsatsen att Docker containerskannrar bör köras i isolerade miljöer eller endast användas för att kontrollera sina egna bilder, och att försiktighet bör iakttas när sådana verktyg kopplas till automatiserade kontinuerliga integrationssystem.
I FOSSA, Snyk och WhiteSource var sårbarheten associerad med att anropa en extern pakethanterare för att fastställa beroenden och gjorde det möjligt för dig att organisera exekveringen av din kod genom att ange pek- och systemkommandon i filer и .
Snyk och WhiteSource hade dessutom , med organisationen av att starta systemkommandon vid analys av Dockerfilen (till exempel i Snyk, genom Dockefile, var det möjligt att ersätta verktyget /bin/ls som anropades av skannern, och i WhiteSurce var det möjligt att ersätta kod genom argument i formuläret "echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Ankarsårbarhet använder verktyget för att arbeta med docker-bilder. Operationen gick ut på att lägga till parametrar som '"os": "$(touch hacked_anchore)"' till manifest.json-filen, som ersätts när man anropar skopeo utan korrekt escape (endast ";&<>"-tecknen klipptes ut, men konstruktionen "$( )").
Samma författare genomförde en studie av effektiviteten av att identifiera opatchade sårbarheter med Docker containersäkerhetsskannrar och nivån på falska positiva (, , ). Nedan visas resultaten av att testa 73 bilder som innehåller kända sårbarheter, och även utvärdera effektiviteten av att fastställa förekomsten av typiska applikationer i bilder (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Källa: opennet.ru