கடந்த சனிக்கிழமை, மே 18, கென்னா செக்யூரிட்டியின் ஜெர்ரி கேம்ப்ளின் ரூட் பயனருக்கு அவர்கள் பயன்படுத்தும் கடவுச்சொல் மூலம் Docker Hub இலிருந்து 1000 மிகவும் பிரபலமான படங்கள். 19% வழக்குகளில் அது காலியாக மாறியது.
ஆல்பைனுடன் பின்னணி
சிறு ஆய்வுக்கான காரணம், இந்த மாத தொடக்கத்தில் வெளிவந்த Talos பாதிப்பு அறிக்கை (), இதன் ஆசிரியர்கள் - சிஸ்கோ குடையிலிருந்து பீட்டர் அட்கின்ஸ் கண்டுபிடித்ததற்கு நன்றி - பிரபலமான ஆல்பைன் கொள்கலன் விநியோகத்துடன் கூடிய டோக்கர் படங்களுக்கு ரூட் கடவுச்சொல் இல்லை என்று தெரிவித்தனர்:
“ஆல்பைன் லினக்ஸ் டோக்கர் படங்களின் அதிகாரப்பூர்வ பதிப்புகள் (v3.3 இலிருந்து) ரூட் பயனருக்கான NULL கடவுச்சொல்லைக் கொண்டுள்ளது. டிசம்பர் 2015 இல் வழங்கப்பட்ட பின்னடைவின் விளைவாக இந்த பாதிப்பு தோன்றியது. ஆல்பைன் லினக்ஸின் சிக்கலான பதிப்புகளுடன் ஒரு கொள்கலனில் பயன்படுத்தப்படும் கணினிகள் மற்றும் லினக்ஸ் பிஏஎம் அல்லது கணினி நிழல் கோப்பை அங்கீகாரத்திற்கான தரவுத்தளமாகப் பயன்படுத்தும் மற்றொரு பொறிமுறையைப் பயன்படுத்தி ரூட் பயனருக்கான பூஜ்ய (பூஜ்ய) கடவுச்சொல்லை ஏற்க முடியும் என்பதில் அதன் சாராம்சம் கொதிக்கிறது.
சிக்கலுக்காக சோதிக்கப்பட்ட ஆல்பைன் டோக்கர் படங்களின் பதிப்புகள் 3.3-3.9 உள்ளடக்கியவை, அதே போல் எட்ஜின் சமீபத்திய வெளியீடு.
பாதிக்கப்பட்ட பயனர்களுக்கு ஆசிரியர்கள் பின்வரும் பரிந்துரைகளை வழங்கினர்:
“ஆல்பைனின் சிக்கலான பதிப்புகளிலிருந்து உருவாக்கப்பட்ட டோக்கர் படங்களில் ரூட் கணக்கு வெளிப்படையாக முடக்கப்பட்டிருக்க வேண்டும். அதன் வெற்றிக்கு Linux PAM அல்லது பிற ஒத்த பொறிமுறையைப் பயன்படுத்தி வெளிப்புறமாக அனுப்பப்பட்ட சேவை அல்லது பயன்பாடு தேவைப்படுவதால், பாதிப்பின் சாத்தியமான சுரண்டல் சுற்றுச்சூழலைப் பொறுத்தது.
பிரச்சனை இருந்தது ஆல்பைன் பதிப்புகள் 3.6.5, 3.7.3, 3.8.4, 3.9.2 மற்றும் எட்ஜ் (20190228 ஸ்னாப்ஷாட்) மற்றும் பாதிக்கப்பட்ட படங்களின் உரிமையாளர்கள் ரூட் உள்ள வரியில் கருத்து தெரிவிக்குமாறு கேட்டுக்கொள்ளப்பட்டனர். /etc/shadow அல்லது தொகுப்பு காணவில்லை என்பதை உறுதிப்படுத்தவும் linux-pam.
டோக்கர் ஹப்பில் இருந்து தொடர்கிறது
ஜெர்ரி கேம்ப்ளின், "கன்டெய்னர்களில் பூஜ்ய கடவுச்சொற்களைப் பயன்படுத்தும் நடைமுறை எவ்வளவு பொதுவானது" என்பதைப் பற்றி விசாரிக்க முடிவு செய்தார். இதை செய்ய, அவர் ஒரு சிறிய எழுதினார் , இதன் சாராம்சம் மிகவும் எளிது:
- டோக்கர் ஹப்பில் உள்ள ஏபிஐக்கு கர்ல் கோரிக்கை மூலம், அங்கு ஹோஸ்ட் செய்யப்பட்ட டோக்கர் படங்களின் பட்டியல் கோரப்பட்டது;
- jq வழியாக இது புலம் வாரியாக வரிசைப்படுத்தப்படுகிறது
popularity, மற்றும் பெறப்பட்ட முடிவுகளிலிருந்து, முதல் ஆயிரம் எஞ்சியுள்ளது; - அவர்கள் ஒவ்வொருவருக்கும்,
docker pull; - டோக்கர் ஹப்பிலிருந்து பெறப்பட்ட ஒவ்வொரு படத்திற்கும்,
docker runகோப்பிலிருந்து முதல் வரியைப் படித்தல்/etc/shadow; - சரத்தின் மதிப்பு சமமாக இருந்தால்
root:::0:::::, படத்தின் பெயர் ஒரு தனி கோப்பில் சேமிக்கப்படுகிறது.
என்ன நடந்தது? IN லினக்ஸ் அமைப்புகளுடன் கூடிய பிரபலமான டோக்கர் படங்களின் பெயர்களுடன் 194 வரிகள் இருந்தன, அதில் ரூட் பயனருக்கு கடவுச்சொல் அமைக்கப்படவில்லை:
“இந்த பட்டியலில் உள்ள மிகவும் பிரபலமான பெயர்களில் govuk/governmentpaas, hashicorp, microsoft, Monsanto மற்றும் mesosphere ஆகியவை அடங்கும். மேலும் கைல்மன்னா/ஓபன்விபிஎன் 10 மில்லியனுக்கும் அதிகமான இழுப்புடன், பட்டியலில் மிகவும் பிரபலமான கொள்கலன் ஆகும்.
இருப்பினும், இந்த நிகழ்வு அவற்றைப் பயன்படுத்தும் அமைப்புகளின் பாதுகாப்பில் நேரடி பாதிப்பைக் குறிக்கவில்லை என்பதை நினைவில் கொள்வது மதிப்பு: இவை அனைத்தும் அவை எவ்வாறு சரியாகப் பயன்படுத்தப்படுகின்றன என்பதைப் பொறுத்தது. (மேலே உள்ள ஆல்பைன் வழக்கின் கருத்தைப் பார்க்கவும்). எவ்வாறாயினும், "இந்தக் கதையின் தார்மீகத்தை" நாங்கள் ஏற்கனவே பலமுறை பார்த்திருக்கிறோம்: வெளிப்படையான எளிமை பெரும்பாலும் எதிர்மறையான பக்கத்தைக் கொண்டுள்ளது, தொழில்நுட்பத்தைப் பயன்படுத்துவதற்கான உங்கள் சூழ்நிலைகளில் அதன் விளைவுகளை நீங்கள் எப்போதும் நினைவில் வைத்துக் கொள்ள வேண்டும்.
சோசலிஸ்ட் கட்சி
எங்கள் வலைப்பதிவிலும் படிக்கவும்:
- «";
- «";
- «";
- «".
ஆதாரம்: www.habr.com