అన్ప్యాచ్ చేయని దుర్బలత్వాలను గుర్తించడానికి మరియు వివిక్త డాకర్ కంటైనర్ చిత్రాలలో భద్రతా సమస్యలను గుర్తించడానికి పరీక్ష సాధనాల ఫలితాలు. తెలిసిన 4 డాకర్ ఇమేజ్ స్కానర్లలో 6 క్లిష్టమైన దుర్బలత్వాలను కలిగి ఉన్నాయని ఆడిట్ చూపించింది, దీని వలన స్కానర్పై నేరుగా దాడి చేయడం మరియు సిస్టమ్లో దాని కోడ్ని అమలు చేయడం సాధ్యమైంది, కొన్ని సందర్భాల్లో (ఉదాహరణకు, Snyk ఉపయోగిస్తున్నప్పుడు) రూట్ హక్కులతో.
దాడి చేయడానికి, దాడి చేసే వ్యక్తి ప్రత్యేకంగా రూపొందించిన మెటాడేటాను కలిగి ఉన్న అతని డాకర్ ఫైల్ లేదా మానిఫెస్ట్.json యొక్క చెక్ను ప్రారంభించాలి లేదా చిత్రం లోపల Podfile మరియు గ్రాడ్లీ ఫైల్లను ఉంచాలి. ప్రోటోటైప్లను ఉపయోగించుకోండి వ్యవస్థల కోసం
, ,
и
. ప్యాకేజీ అత్యుత్తమ భద్రతను చూపింది , వాస్తవానికి భద్రతను దృష్టిలో ఉంచుకుని వ్రాయబడింది. ప్యాకేజీలోనూ ఎలాంటి సమస్యలను గుర్తించలేదు. . ఫలితంగా, డాకర్ కంటైనర్ స్కానర్లను వివిక్త వాతావరణంలో అమలు చేయాలని లేదా వాటి స్వంత చిత్రాలను తనిఖీ చేయడానికి మాత్రమే ఉపయోగించాలని మరియు అటువంటి సాధనాలను ఆటోమేటెడ్ నిరంతర ఏకీకరణ వ్యవస్థలకు కనెక్ట్ చేసేటప్పుడు జాగ్రత్త వహించాలని నిర్ధారించారు.
FOSSA, Snyk మరియు WhiteSourceలో, దుర్బలత్వం అనేది డిపెండెన్సీలను గుర్తించడానికి బాహ్య ప్యాకేజీ మేనేజర్కి కాల్ చేయడంతో అనుబంధించబడింది మరియు ఫైల్లలో టచ్ మరియు సిస్టమ్ ఆదేశాలను పేర్కొనడం ద్వారా మీ కోడ్ అమలును నిర్వహించడానికి మిమ్మల్ని అనుమతించింది. и .
Snyk మరియు WhiteSource అదనంగా ఉన్నాయి , డాకర్ఫైల్ను అన్వయించేటప్పుడు సిస్టమ్ ఆదేశాలను ప్రారంభించే సంస్థతో (ఉదాహరణకు, స్నైక్లో, డాక్ఫైల్ ద్వారా, స్కానర్ ద్వారా పిలువబడే /bin/ls యుటిలిటీని భర్తీ చేయడం సాధ్యమైంది మరియు వైట్సర్స్లో, ఆర్గ్యుమెంట్ల ద్వారా కోడ్ను ప్రత్యామ్నాయం చేయడం సాధ్యమైంది. రూపం “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
యాంకర్ దుర్బలత్వం యుటిలిటీని ఉపయోగించడం డాకర్ చిత్రాలతో పని చేయడం కోసం. మానిఫెస్ట్.json ఫైల్కి '"os": "$(టచ్ హ్యాక్డ్_యాంచోర్)"' వంటి పారామీటర్లను జోడించడం ద్వారా ఆపరేషన్ ఉడకబెట్టబడింది, ఇవి సరిగ్గా తప్పించుకోకుండా స్కోపియోకి కాల్ చేస్తున్నప్పుడు ప్రత్యామ్నాయంగా ఉంటాయి (";&<>" అక్షరాలు మాత్రమే కత్తిరించబడ్డాయి, కానీ నిర్మాణం "$( )").
అదే రచయిత డాకర్ కంటైనర్ సెక్యూరిటీ స్కానర్లను మరియు తప్పుడు పాజిటివ్ల స్థాయిని ఉపయోగించి అన్ప్యాచ్ చేయని దుర్బలత్వాలను గుర్తించడం యొక్క ప్రభావాన్ని అధ్యయనం చేశారు (, , ) తెలిసిన దుర్బలత్వాలను కలిగి ఉన్న 73 చిత్రాలను పరీక్షించడం యొక్క ఫలితాలు క్రింద ఉన్నాయి మరియు చిత్రాలలో (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) విలక్షణమైన అప్లికేషన్ల ఉనికిని నిర్ణయించే ప్రభావాన్ని కూడా అంచనా వేయండి.
మూలం: opennet.ru