mga resulta mula sa mga tool sa pagsubok upang matukoy ang mga hindi na-patch na kahinaan at tukuyin ang mga isyu sa seguridad sa mga nakahiwalay na larawan ng container ng Docker. Ipinakita ng pag-audit na 4 sa 6 na kilalang mga scanner ng imahe ng Docker ay naglalaman ng mga kritikal na kahinaan na naging posible na direktang atakehin ang scanner mismo at makamit ang pagpapatupad ng code nito sa system, sa ilang mga kaso (halimbawa, kapag gumagamit ng Snyk) na may mga karapatan sa ugat.
Para umatake, kailangan lang ng attacker na simulan ang isang check sa kanyang Dockerfile o manifest.json, na kinabibilangan ng espesyal na idinisenyong metadata, o ilagay ang Podfile at gradlew file sa loob ng larawan. Gamitin ang mga prototype para sa mga sistema
, ,
ΠΈ
. Ang pakete ay nagpakita ng pinakamahusay na seguridad , orihinal na isinulat na may iniisip na seguridad. Wala ring natukoy na problema sa package. . Bilang resulta, napagpasyahan na ang mga scanner ng container ng Docker ay dapat na tumakbo sa mga nakahiwalay na kapaligiran o ginagamit lamang upang suriin ang kanilang sariling mga imahe, at ang pag-iingat ay dapat gamitin kapag ikinonekta ang mga naturang tool sa mga awtomatikong tuluy-tuloy na sistema ng pagsasama.
Sa FOSSA, Snyk at WhiteSource, ang kahinaan ay nauugnay sa pagtawag sa isang external na manager ng package upang matukoy ang mga dependency at pinahintulutan kang ayusin ang pagpapatupad ng iyong code sa pamamagitan ng pagtukoy sa touch at system command sa mga file. ΠΈ .
Ang Snyk at WhiteSource ay mayroon ding , kasama ang organisasyon ng paglulunsad ng mga utos ng system kapag nag-parse ng Dockerfile (halimbawa, sa Snyk, sa pamamagitan ng Dockefile, posibleng palitan ang /bin/ls utility na tinatawag ng scanner, at sa WhiteSurce, posibleng palitan ang code sa pamamagitan ng mga argumento sa ang form na "echo ';touch /tmp/hacked_whitesource_pip;=1.0 β²").
Anchore vulnerability gamit ang utility para sa pagtatrabaho sa mga imahe ng docker. Ang operasyon ay bumulusok sa pagdaragdag ng mga parameter tulad ng '"os": "$(touch hacked_anchore)"' sa manifest.json file, na pinapalitan kapag tumatawag sa skopeo nang walang tamang pagtakas (ang ";&<>" na mga character lamang ang pinutol, ngunit ang konstruksyon na "$( )").
Ang parehong may-akda ay nagsagawa ng isang pag-aaral ng pagiging epektibo ng pagtukoy ng mga hindi na-patch na kahinaan gamit ang Docker container security scanner at ang antas ng mga maling positibo (, , ). Nasa ibaba ang mga resulta ng pagsubok sa 73 mga larawan na naglalaman ng mga kilalang kahinaan, at sinusuri din ang pagiging epektibo ng pagtukoy sa pagkakaroon ng mga tipikal na aplikasyon sa mga larawan (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Pinagmulan: opennet.ru