🥇 ٹاپ 19.4 ڈوکر کنٹینرز میں سے 1000% ایک خالی روٹ پاس ورڈ پر مشتمل ہے

جیری گیمبلن نے یہ جاننے کا فیصلہ کیا کہ نئی شناخت کتنی وسیع ہے۔ مسئلہ الپائن ڈسٹری بیوشن کی ڈوکر امیجز میں، روٹ صارف کے لیے خالی پاس ورڈ بتانے سے وابستہ ہے۔ ڈوکر ہب کیٹلاگ سے ہزاروں مقبول ترین کنٹینرز کا تجزیہ دکھایا، کیا میں 194 ان میں سے (19.4%) اکاؤنٹ کو لاک کیے بغیر روٹ کے لیے ایک خالی پاس ورڈ سیٹ کیا جاتا ہے ("root:!::0:::::" کی بجائے "root:::0:::::")۔

اگر کنٹینر شیڈو اور linux-pam پیکجوں کا استعمال کرتا ہے، تو خالی روٹ پاس ورڈ استعمال کریں۔ کی اجازت دیتا ہے اگر آپ کو کنٹینر تک غیر مراعات یافتہ رسائی حاصل ہے یا کنٹینر میں چلنے والی غیر مراعات یافتہ سروس میں کمزوری کا فائدہ اٹھانے کے بعد کنٹینر کے اندر اپنی مراعات کو بڑھا دیں۔ اگر آپ کو انفراسٹرکچر تک رسائی ہے تو آپ روٹ رائٹس کے ساتھ کنٹینر سے بھی جڑ سکتے ہیں، یعنی ٹرمینل کے ذریعے TTY سے منسلک ہونے کی صلاحیت /etc/securetty فہرست میں بیان کی گئی ہے۔ خالی پاس ورڈ کے ساتھ لاگ ان SSH کے ذریعے مسدود ہے۔

کے درمیان سب سے زیادہ مقبول خالی روٹ پاس ورڈ والے کنٹینرز ہیں microsoft/azure-cli, kylemanna/openvpn, governmentpaas/s3-وسائل, phpmyadmin/phpmyadmin, mesosphere/aws-cli и hashicorp/terraformجس کے 10 ملین سے زیادہ ڈاؤن لوڈز ہیں۔ کنٹینرز بھی نمایاں ہیں۔
govuk/gemstash-alpine (500 ہزار) monsantoco/logstash (5 ملین)
avhost/docker-matrix-riot (1 ملین)
azuresdk/azure-cli-python (5 ملین)
и ciscocloud/haproxy-consul (1 ملین)۔ ان میں سے تقریباً تمام کنٹینرز الپائن پر مبنی ہیں اور شیڈو اور لینکس پیم پیکجز استعمال نہیں کرتے ہیں۔ Debian پر مبنی مائیکروسافٹ/azure-cli صرف استثناء ہے۔

ماخذ: opennet.ru

ٹاپ 19.4 ڈوکر کنٹینرز میں سے 1000% میں ایک خالی روٹ پاس ورڈ ہوتا ہے۔

نیا تبصرہ شامل کریں جواب منسوخ کریں