Yamalı güvenlik açıklarını belirlemek ve yalıtılmış Docker konteyner görüntülerindeki güvenlik sorunlarını belirlemek için test araçlarının sonuçları. Denetim, bilinen 4 Docker görüntü tarayıcısından 6'ünün, tarayıcının kendisine doğrudan saldırmayı ve bazı durumlarda (örneğin, Snyk kullanırken) kök haklarıyla kodunun sistem üzerinde yürütülmesini mümkün kılan kritik güvenlik açıkları içerdiğini gösterdi.
Saldırganın saldırmak için özel olarak tasarlanmış meta verileri içeren Dockerfile veya manifest.json dosyasını kontrol etmesi veya görüntünün içine Podfile ve gradlew dosyalarını yerleştirmesi yeterlidir. Prototiplerden yararlanın sistemler için
, ,
и
. Paket en iyi güvenliği gösterdi , başlangıçta güvenlik göz önünde bulundurularak yazılmıştır. Pakette de herhangi bir sorun tespit edilmedi. . Sonuç olarak Docker konteyner tarayıcılarının izole ortamlarda çalıştırılması veya sadece kendi görüntülerini kontrol etmek amacıyla kullanılması gerektiği ve bu tür araçların otomatik sürekli entegrasyon sistemlerine bağlanırken dikkatli olunması gerektiği sonucuna varıldı.
FOSSA, Snyk ve WhiteSource'ta güvenlik açığı, bağımlılıkları belirlemek için harici bir paket yöneticisinin çağrılmasıyla ilişkilendirildi ve dosyalardaki dokunma ve sistem komutlarını belirterek kodunuzun yürütülmesini düzenlemenize olanak sağladı. и .
Snyk ve WhiteSource ayrıca , Dockerfile'ı ayrıştırırken sistem komutlarını başlatmanın organizasyonu ile (örneğin, Snyk'te, Dockefile aracılığıyla, tarayıcı tarafından çağrılan /bin/ls yardımcı programını değiştirmek mümkündü ve WhiteSurce'de, kodu aşağıdaki argümanlar aracılığıyla değiştirmek mümkündü: "echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′" biçimindedir.
Bağlantı güvenlik açığı yardımcı programı kullanma liman işçisi görüntüleri ile çalışmak için. İşlem, manifest.json dosyasına "os": "$(touch hacked_anchore)"' gibi parametrelerin eklenmesiyle özetlendi; bunlar, uygun kaçış olmadan skopeo çağrılırken değiştirilir (yalnızca ";&<>" karakterleri kesildi, ancak inşaat "$( )").
Aynı yazar, Docker konteyner güvenlik tarayıcılarını kullanarak yamalı güvenlik açıklarını belirlemenin etkinliği ve yanlış pozitiflerin düzeyi üzerine bir çalışma yürüttü (, , ). Aşağıda, bilinen güvenlik açıklarını içeren 73 görüntünün test sonuçları yer almaktadır ve ayrıca görüntülerdeki tipik uygulamaların (nginx, Tomcat, haproxy, gunicorn, redis, ruby, node) varlığını belirlemenin etkinliği de değerlendirilmektedir.
Kaynak: opennet.ru