టాప్ డాకర్ చిత్రాలలో 19% రూట్ పాస్‌వర్డ్‌ని కలిగి లేవు

గత శనివారం, మే 18, కెన్నా సెక్యూరిటీకి చెందిన జెర్రీ గాంబ్లిన్ తనిఖీ చేశారు రూట్ యూజర్ కోసం ఉపయోగించే పాస్‌వర్డ్ ద్వారా డాకర్ హబ్ నుండి 1000 అత్యంత ప్రజాదరణ పొందిన చిత్రాలు. 19% కేసులలో ఇది ఖాళీగా మారింది.

ఆల్పైన్‌తో నేపథ్యం

చిన్న-అధ్యయనానికి కారణం ఈ నెల ప్రారంభంలో కనిపించిన టాలోస్ వల్నరబిలిటీ రిపోర్ట్ (TALOS-2019-0782), దీని రచయితలు - సిస్కో అంబ్రెల్లా నుండి పీటర్ అడ్కిన్స్ కనుగొన్నందుకు ధన్యవాదాలు - ప్రసిద్ధ ఆల్పైన్ కంటైనర్ పంపిణీతో డాకర్ చిత్రాలకు రూట్ పాస్‌వర్డ్ లేదని నివేదించారు:

“ఆల్పైన్ లైనక్స్ డాకర్ ఇమేజ్‌ల అధికారిక సంస్కరణలు (v3.3 నుండి మొదలవుతాయి) రూట్ యూజర్ కోసం NULL పాస్‌వర్డ్‌ను కలిగి ఉంటాయి. డిసెంబర్ 2015లో సమర్పించబడిన తిరోగమనం ఫలితంగా ఈ దుర్బలత్వం కనిపించింది. కంటైనర్‌లో ఆల్పైన్ లైనక్స్ యొక్క సమస్యాత్మక వెర్షన్‌లతో అమర్చబడిన సిస్టమ్‌లు మరియు ప్రామాణీకరణ కోసం సిస్టమ్ షాడో ఫైల్‌ను డేటాబేస్‌గా ఉపయోగించే Linux PAM లేదా మరొక మెకానిజం ఉపయోగించి రూట్ యూజర్ కోసం శూన్య (NULL) పాస్‌వర్డ్‌ను ఆమోదించగలదనే వాస్తవం దాని సారాంశం.

సమస్య కోసం పరీక్షించబడిన ఆల్పైన్ డాకర్ చిత్రాల సంస్కరణలు 3.3-3.9 కలుపుకొని, అలాగే అంచు యొక్క తాజా విడుదల.

ప్రభావిత వినియోగదారులకు రచయితలు ఈ క్రింది సిఫార్సులను చేసారు:

“ఆల్పైన్ యొక్క సమస్యాత్మక సంస్కరణల నుండి రూపొందించబడిన డాకర్ చిత్రాలలో రూట్ ఖాతా స్పష్టంగా నిలిపివేయబడాలి. హాని యొక్క సంభావ్య దోపిడీ పర్యావరణంపై ఆధారపడి ఉంటుంది, ఎందుకంటే దాని విజయానికి Linux PAM లేదా ఇతర సారూప్య యంత్రాంగాన్ని ఉపయోగించి బాహ్యంగా ఫార్వార్డ్ చేయబడిన సేవ లేదా అప్లికేషన్ అవసరం.

సమస్య ఏర్పడింది తొలగించబడింది ఆల్పైన్ వెర్షన్‌లు 3.6.5, 3.7.3, 3.8.4, 3.9.2 మరియు ఎడ్జ్ (20190228 స్నాప్‌షాట్), మరియు ప్రభావిత చిత్రాల యజమానులు రూట్‌తో లైన్‌ను వ్యాఖ్యానించమని కోరారు. /etc/shadow లేదా ప్యాకేజీ లేదు అని నిర్ధారించుకోండి linux-pam.

డాకర్ హబ్ నుండి కొనసాగింది

జెర్రీ గాంబ్లిన్ "కంటెయినర్లలో శూన్య పాస్‌వర్డ్‌లను ఉపయోగించడం ఎంత సాధారణం" అనే దాని గురించి విచారించాలని నిర్ణయించుకున్నాడు. ఇది చేయుటకు, అతను ఒక చిన్న వ్రాసాడు బాష్ స్క్రిప్ట్, దీని సారాంశం చాలా సులభం:

• డాకర్ హబ్‌లోని APIకి కర్ల్ అభ్యర్థన ద్వారా, అక్కడ హోస్ట్ చేయబడిన డాకర్ చిత్రాల జాబితా అభ్యర్థించబడుతుంది;
• jq ద్వారా ఇది ఫీల్డ్ వారీగా క్రమబద్ధీకరించబడుతుంది popularity, మరియు పొందిన ఫలితాల నుండి, మొదటి వెయ్యి మిగిలి ఉంది;
• వాటిలో ప్రతి ఒక్కరికి, docker pull;
• డాకర్ హబ్ నుండి అందుకున్న ప్రతి చిత్రానికి, docker run ఫైల్ నుండి మొదటి పంక్తిని చదవడం /etc/shadow;
• స్ట్రింగ్ విలువ సమానంగా ఉంటే root:::0:::::, చిత్రం పేరు ప్రత్యేక ఫైల్‌లో సేవ్ చేయబడింది.

ఏం జరిగింది? IN ఈ ఫైల్ Linux సిస్టమ్‌లతో ప్రసిద్ధ డాకర్ చిత్రాల పేర్లతో 194 లైన్‌లు ఉన్నాయి, ఇందులో రూట్ యూజర్‌కి పాస్‌వర్డ్ సెట్ లేదు:

“ఈ జాబితాలోని అత్యంత ప్రసిద్ధ పేర్లలో గోవుక్/గవర్నమెంట్‌పాస్, హాషికార్ప్, మైక్రోసాఫ్ట్, మోన్‌శాంటో మరియు మెసోస్పియర్ ఉన్నాయి. మరియు kylemanna/openvpn జాబితాలో అత్యంత ప్రజాదరణ పొందిన కంటైనర్, 10 మిలియన్లకు పైగా లాగుతుంది.

ఏదేమైనా, ఈ దృగ్విషయం వాటిని ఉపయోగించే సిస్టమ్‌ల భద్రతలో ప్రత్యక్ష దుర్బలత్వం అని అర్ధం కాదని గుర్తుచేసుకోవడం విలువ: ఇవన్నీ అవి ఎంత ఖచ్చితంగా ఉపయోగించబడుతున్నాయనే దానిపై ఆధారపడి ఉంటుంది. (పైన ఆల్పైన్ కేసు నుండి వ్యాఖ్యను చూడండి). అయినప్పటికీ, మేము ఇప్పటికే "ఈ కథ యొక్క నైతికత"ని చాలాసార్లు చూశాము: స్పష్టమైన సరళత తరచుగా ప్రతికూలతను కలిగి ఉంటుంది, మీరు ఎల్లప్పుడూ గుర్తుంచుకోవాలి మరియు సాంకేతికతను ఉపయోగించడం కోసం మీ దృశ్యాలలో దాని పరిణామాలను పరిగణనలోకి తీసుకోవాలి.

PS

మా బ్లాగులో కూడా చదవండి:

• «డాకర్ హబ్‌లోని చిత్రాలలో బేస్ ఆపరేటింగ్ సిస్టమ్‌లపై గణాంకాలు";
• «భద్రతను కోరుకునే వాతావరణంలో డాకర్ మరియు కుబెర్నెట్స్";
• «రన్‌క్‌లో ఉన్న దుర్బలత్వం CVE-2019-5736, హోస్ట్‌పై రూట్ హక్కులను పొందేందుకు అనుమతిస్తుంది";
• «హాని కలిగించే డాకర్ VM - డాకర్ మరియు పెంటెస్టింగ్ కోసం ఒక పజిల్ వర్చువల్ మెషీన్".

మూలం: www.habr.com