టాప్ 19.4 డాకర్ కంటైనర్‌లలో 1000% ఖాళీ రూట్ పాస్‌వర్డ్‌ను కలిగి ఉన్నాయి

జెర్రీ గాంబ్లిన్ కొత్తగా గుర్తించినది ఎంత విస్తృతంగా ఉందో తెలుసుకోవడానికి నిర్ణయించుకున్నాడు సమస్య ఆల్పైన్ డిస్ట్రిబ్యూషన్ యొక్క డాకర్ ఇమేజ్‌లలో, రూట్ యూజర్ కోసం ఖాళీ పాస్‌వర్డ్‌ను పేర్కొనడంతో అనుబంధించబడింది. డాకర్ హబ్ కేటలాగ్ నుండి అత్యంత ప్రజాదరణ పొందిన వేలాది కంటైనర్‌ల విశ్లేషణ చూపించాడు, ఏమి లో 194 వీటిలో (19.4%) ఖాతాను లాక్ చేయకుండా రూట్ కోసం ఖాళీ పాస్‌వర్డ్ సెట్ చేయబడింది (“రూట్:::0:::::” బదులుగా “రూట్:!::0:::::”).

కంటైనర్ షాడో మరియు లైనక్స్-పామ్ ప్యాకేజీలను ఉపయోగిస్తుంటే, ఖాళీ రూట్ పాస్‌వర్డ్‌ను ఉపయోగించండి ఇది అనుమతిస్తుంది మీరు కంటైనర్‌కు అన్‌ప్రివిలేజ్డ్ యాక్సెస్‌ని కలిగి ఉన్నట్లయితే లేదా కంటైనర్‌లో నడుస్తున్న అన్‌ప్రివిలేజ్డ్ సర్వీస్‌లో దుర్బలత్వాన్ని ఉపయోగించుకున్న తర్వాత కంటైనర్ లోపల మీ అధికారాలను పెంచుకోండి. మీరు ఇన్‌ఫ్రాస్ట్రక్చర్‌కు యాక్సెస్ కలిగి ఉంటే, మీరు రూట్ హక్కులతో కంటైనర్‌కు కూడా కనెక్ట్ చేయవచ్చు, అనగా. /etc/securetty జాబితాలో పేర్కొన్న TTYకి టెర్మినల్ ద్వారా కనెక్ట్ చేయగల సామర్థ్యం. ఖాళీ పాస్‌వర్డ్‌తో లాగిన్ SSH ద్వారా బ్లాక్ చేయబడింది.

వాటిలో అత్యంత ప్రాచుర్యం పొందింది ఖాళీ రూట్ పాస్‌వర్డ్‌తో కంటైనర్‌లు ఉన్నాయి మైక్రోసాఫ్ట్/ఆజూర్-క్లి, kylemanna/openvpn, Governmentpaas/s3-వనరు, phpmyadmin/phpmyadmin, mesosphere/aws-cli и హాషికార్ప్/టెర్రాఫార్మ్, ఇది 10 మిలియన్లకు పైగా డౌన్‌లోడ్‌లను కలిగి ఉంది. కంటైనర్లు కూడా హైలైట్ చేయబడ్డాయి
govuk/gemstash-alpine (500 వేలు), monsantoco/logstash (5 మిలియన్),
avhost/docker-matrix-riot (1 మిలియన్),
azuresdk/azure-cli-python (5 మిలియన్)
и ciscocloud/haproxy-కాన్సుల్ (1 మిలియన్). దాదాపు అన్ని ఈ కంటైనర్‌లు ఆల్పైన్‌పై ఆధారపడి ఉంటాయి మరియు షాడో మరియు లైనక్స్-పామ్ ప్యాకేజీలను ఉపయోగించవు. డెబియన్ ఆధారంగా మైక్రోసాఫ్ట్/అజూర్-క్లి మాత్రమే మినహాయింపు.

మూలం: opennet.ru