గత శనివారం, మే 18, కెన్నా సెక్యూరిటీకి చెందిన జెర్రీ గాంబ్లిన్ రూట్ యూజర్ కోసం ఉపయోగించే పాస్వర్డ్ ద్వారా డాకర్ హబ్ నుండి 1000 అత్యంత ప్రజాదరణ పొందిన చిత్రాలు. 19% కేసులలో ఇది ఖాళీగా మారింది.
ఆల్పైన్తో నేపథ్యం
చిన్న-అధ్యయనానికి కారణం ఈ నెల ప్రారంభంలో కనిపించిన టాలోస్ వల్నరబిలిటీ రిపోర్ట్ (), దీని రచయితలు - సిస్కో అంబ్రెల్లా నుండి పీటర్ అడ్కిన్స్ కనుగొన్నందుకు ధన్యవాదాలు - ప్రసిద్ధ ఆల్పైన్ కంటైనర్ పంపిణీతో డాకర్ చిత్రాలకు రూట్ పాస్వర్డ్ లేదని నివేదించారు:
«Официальные версии Docker-образов Alpine Linux (начиная с v3.3) содержат NULL-пароль для пользователя root. Эта уязвимость появилась в результате регрессии, представленной в декабре 2015 года. Её суть сводится к тому, что системы, развёрнутые с проблемными версиями Alpine Linux в контейнере и использующие Linux PAM или другой механизм, задействующий системный файл shadow в качестве базы данных для аутентификации, могут принимать нулевой (NULL) пароль для пользователя root».
సమస్య కోసం పరీక్షించబడిన ఆల్పైన్ డాకర్ చిత్రాల సంస్కరణలు 3.3-3.9 కలుపుకొని, అలాగే అంచు యొక్క తాజా విడుదల.
ప్రభావిత వినియోగదారులకు రచయితలు ఈ క్రింది సిఫార్సులను చేసారు:
«Учётная запись root должна быть явно отключена в Docker-образах, собранных на базе проблемных версий Alpine. Вероятная эксплуатация уязвимости зависит от окружения, поскольку её успех требует проброшенного вовне сервиса или приложения, использующего Linux PAM или другого подобного механизма».
సమస్య ఏర్పడింది ఆల్పైన్ వెర్షన్లు 3.6.5, 3.7.3, 3.8.4, 3.9.2 మరియు ఎడ్జ్ (20190228 స్నాప్షాట్), మరియు ప్రభావిత చిత్రాల యజమానులు రూట్తో లైన్ను వ్యాఖ్యానించమని కోరారు. /etc/shadow లేదా ప్యాకేజీ లేదు అని నిర్ధారించుకోండి linux-pam.
డాకర్ హబ్ నుండి కొనసాగింది
జెర్రీ గాంబ్లిన్ "కంటెయినర్లలో శూన్య పాస్వర్డ్లను ఉపయోగించడం ఎంత సాధారణం" అనే దాని గురించి విచారించాలని నిర్ణయించుకున్నాడు. ఇది చేయుటకు, అతను ఒక చిన్న వ్రాసాడు , దీని సారాంశం చాలా సులభం:
- డాకర్ హబ్లోని APIకి కర్ల్ అభ్యర్థన ద్వారా, అక్కడ హోస్ట్ చేయబడిన డాకర్ చిత్రాల జాబితా అభ్యర్థించబడుతుంది;
- jq ద్వారా ఇది ఫీల్డ్ వారీగా క్రమబద్ధీకరించబడుతుంది
popularity, మరియు పొందిన ఫలితాల నుండి, మొదటి వెయ్యి మిగిలి ఉంది; - వాటిలో ప్రతి ఒక్కరికి,
docker pull; - డాకర్ హబ్ నుండి అందుకున్న ప్రతి చిత్రానికి,
docker runఫైల్ నుండి మొదటి పంక్తిని చదవడం/etc/shadow; - స్ట్రింగ్ విలువ సమానంగా ఉంటే
root:::0:::::, చిత్రం పేరు ప్రత్యేక ఫైల్లో సేవ్ చేయబడింది.
ఏం జరిగింది? IN оказалось 194 строки с названиями популярных Docker-образов с Linux-системами, root-пользователь в которых не имеет установленного пароля:
“ఈ జాబితాలోని అత్యంత ప్రసిద్ధ పేర్లలో గోవుక్/గవర్నమెంట్పాస్, హాషికార్ప్, మైక్రోసాఫ్ట్, మోన్శాంటో మరియు మెసోస్పియర్ ఉన్నాయి. మరియు kylemanna/openvpn జాబితాలో అత్యంత ప్రజాదరణ పొందిన కంటైనర్, 10 మిలియన్లకు పైగా లాగుతుంది.
ఏదేమైనా, ఈ దృగ్విషయం వాటిని ఉపయోగించే సిస్టమ్ల భద్రతలో ప్రత్యక్ష దుర్బలత్వం అని అర్ధం కాదని గుర్తుచేసుకోవడం విలువ: ఇవన్నీ అవి ఎంత ఖచ్చితంగా ఉపయోగించబడుతున్నాయనే దానిపై ఆధారపడి ఉంటుంది. (పైన ఆల్పైన్ కేసు నుండి వ్యాఖ్యను చూడండి). అయినప్పటికీ, మేము ఇప్పటికే "ఈ కథ యొక్క నైతికత"ని చాలాసార్లు చూశాము: స్పష్టమైన సరళత తరచుగా ప్రతికూలతను కలిగి ఉంటుంది, మీరు ఎల్లప్పుడూ గుర్తుంచుకోవాలి మరియు సాంకేతికతను ఉపయోగించడం కోసం మీ దృశ్యాలలో దాని పరిణామాలను పరిగణనలోకి తీసుకోవాలి.
PS
మా బ్లాగులో కూడా చదవండి:
- «";
- «";
- «";
- «".
మూలం: www.habr.com
