టాప్ 19.4 డాకర్ కంటైనర్లలో 1000% ఖాళీ రూట్ పాస్వర్డ్ను కలిగి ఉన్నాయి
జెర్రీ గాంబ్లిన్ కొత్తగా గుర్తించినది ఎంత విస్తృతంగా ఉందో తెలుసుకోవడానికి నిర్ణయించుకున్నాడు సమస్య ఆల్పైన్ డిస్ట్రిబ్యూషన్ యొక్క డాకర్ ఇమేజ్లలో, రూట్ యూజర్ కోసం ఖాళీ పాస్వర్డ్ను పేర్కొనడంతో అనుబంధించబడింది. డాకర్ హబ్ కేటలాగ్ నుండి అత్యంత ప్రజాదరణ పొందిన వేలాది కంటైనర్ల విశ్లేషణ చూపించాడు, ఏమి లో 194 వీటిలో (19.4%) ఖాతాను లాక్ చేయకుండా రూట్ కోసం ఖాళీ పాస్వర్డ్ సెట్ చేయబడింది (“రూట్:::0:::::” బదులుగా “రూట్:!::0:::::”).
కంటైనర్ షాడో మరియు లైనక్స్-పామ్ ప్యాకేజీలను ఉపయోగిస్తుంటే, ఖాళీ రూట్ పాస్వర్డ్ను ఉపయోగించండి ఇది అనుమతిస్తుంది మీరు కంటైనర్కు అన్ప్రివిలేజ్డ్ యాక్సెస్ని కలిగి ఉన్నట్లయితే లేదా కంటైనర్లో నడుస్తున్న అన్ప్రివిలేజ్డ్ సర్వీస్లో దుర్బలత్వాన్ని ఉపయోగించుకున్న తర్వాత కంటైనర్ లోపల మీ అధికారాలను పెంచుకోండి. మీరు ఇన్ఫ్రాస్ట్రక్చర్కు యాక్సెస్ కలిగి ఉంటే, మీరు రూట్ హక్కులతో కంటైనర్కు కూడా కనెక్ట్ చేయవచ్చు, అనగా. /etc/securetty జాబితాలో పేర్కొన్న TTYకి టెర్మినల్ ద్వారా కనెక్ట్ చేయగల సామర్థ్యం. ఖాళీ పాస్వర్డ్తో లాగిన్ SSH ద్వారా బ్లాక్ చేయబడింది.