19% ya picha maarufu zaidi za Docker hazina nenosiri la mizizi

Jumamosi iliyopita, Mei 18, Jerry Gamblin wa Kenna Security imeangaliwa Picha 1000 maarufu zaidi kutoka kwa Docker Hub kulingana na nenosiri la msingi wanalotumia. Katika 19% ya kesi ilikuwa tupu.

Asili na Alpine

Sababu ya utafiti mdogo ilikuwa Ripoti ya Hatari ya Talos ambayo ilionekana mapema mwezi huu (TALOS-2019-0782), waandishi ambao - kutokana na ugunduzi wa Peter Adkins kutoka kwa Umbrella wa Cisco - waliripoti kwamba picha za Docker zilizo na usambazaji maarufu wa chombo cha Alpine hazina nenosiri la mizizi:

"Matoleo rasmi ya picha za Alpine Linux Docker (tangu v3.3) yana nenosiri NULL kwa mtumiaji wa mizizi. Athari hii ilitokana na mrejesho ulioanzishwa mnamo Desemba 2015. Kiini cha hili ni kwamba mifumo iliyotumwa na matoleo yenye matatizo ya Alpine Linux kwenye kontena na kutumia Linux PAM au utaratibu mwingine unaotumia faili ya kivuli ya mfumo kama hifadhidata ya uthibitishaji inaweza kukubali nenosiri NULL kwa mtumiaji wa mizizi."

Matoleo ya picha za Docker zilizo na Alpine zilizojaribiwa kwa tatizo zilikuwa 3.3–3.9 zikiwa zimejumuishwa, pamoja na toleo jipya zaidi la makali.

Waandishi walitoa mapendekezo yafuatayo kwa watumiaji walioathirika:

"Akaunti ya mizizi lazima izimwe waziwazi katika picha za Docker zilizojengwa kutoka kwa matoleo yenye matatizo ya Alpine. Utumiaji unaowezekana wa athari hutegemea mazingira, kwa kuwa mafanikio yake yanahitaji huduma au programu inayotumwa nje kwa kutumia Linux PAM au utaratibu mwingine kama huo."

Tatizo lilikuwa kuondolewa katika matoleo ya Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 na edge (20190228 snapshot), na wamiliki wa picha zilizoathiriwa waliulizwa kutoa maoni nje ya mstari na mizizi ndani /etc/shadow au hakikisha kuwa kifurushi hakipo linux-pam.

Inaendelea na Docker Hub

Jerry Gamblin aliamua kutaka kujua “jinsi jinsi ambavyo zoea la kutumia manenosiri batili katika makontena linaweza kuwa la kawaida.” Kwa kusudi hili aliandika ndogo Hati ya bash, kiini chake ambacho ni rahisi sana:

• kupitia ombi la curl kwa API katika Docker Hub, orodha ya picha za Docker zilizopangishwa hapo imeombwa;
• kupitia jq imepangwa kulingana na uwanja popularity, na kutokana na matokeo yaliyopatikana, elfu ya kwanza inabaki;
• kwa kila mmoja wao inatimia docker pull;
• kwa kila picha iliyopokelewa kutoka kwa Docker Hub inatekelezwa docker run kwa kusoma mstari wa kwanza kutoka kwa faili /etc/shadow;
• ikiwa thamani ya kamba ni sawa na root:::0:::::, jina la picha limehifadhiwa katika faili tofauti.

Nini kimetokea? KATIKA faili hili Kulikuwa na mistari 194 iliyo na majina ya picha maarufu za Docker na mifumo ya Linux, ambayo mtumiaji wa mizizi hana seti ya nenosiri:

"Miongoni mwa majina yanayojulikana sana kwenye orodha hii ni govuk/governmentpaas, hashicorp, microsoft, monsanto na mesosphere. Na kylemanna/openvpn ndio kontena maarufu zaidi kwenye orodha, takwimu zake ni pamoja na zaidi ya vuta milioni 10.

Inafaa kukumbuka, hata hivyo, kwamba jambo hili lenyewe halimaanishi hatari ya moja kwa moja katika usalama wa mifumo inayozitumia: yote inategemea jinsi inatumiwa haswa. (tazama maoni kutoka kwa kesi ya Alpine hapo juu). Walakini, tumeona "maadili ya hadithi" mara nyingi: unyenyekevu dhahiri mara nyingi huwa na upande wa chini, ambao lazima ukumbukwe kila wakati na matokeo yake ambayo huzingatiwa katika hali za utumiaji wa teknolojia.

PS

Soma pia kwenye blogi yetu:

• «Takwimu za mifumo ya uendeshaji ya msingi katika picha kwenye Docker Hub";
• «Docker na Kubernetes katika mazingira nyeti kwa usalama";
• «Hatari ya CVE-2019-5736 inaendeshwa, ambayo hukuruhusu kupata haki za mizizi kwa seva pangishi";
• «Vulnerable Docker VM - mashine ya kweli ya chemshabongo ya Docker na kupenta'.

Chanzo: mapenzi.com