19.4 ta eng yaxshi Docker konteynerlarining 1000 foizi bo'sh ildiz parolini o'z ichiga oladi

Jerri Gamblin yangi aniqlangan qanchalik keng tarqalganligini aniqlashga qaror qildi muammo ildiz foydalanuvchisi uchun bo'sh parolni belgilash bilan bog'liq bo'lgan Alp distributivining Docker tasvirlarida. Docker Hub katalogidagi minglab eng mashhur konteynerlarning tahlili ko'rsatdi, qaysi 194 shulardan (19.4%) hisobni bloklamasdan root uchun boʻsh parol oʻrnatilgan (“root:!::0:::::” oʻrniga root:::0:::::”).

Agar konteyner soya va linux-pam paketlaridan foydalansa, bo'sh root parolidan foydalaning Bu beradi konteynerga imtiyozsiz kirish imkoniga ega bo'lsangiz yoki konteynerda ishlaydigan imtiyozsiz xizmatdagi zaiflikdan foydalanganingizdan so'ng, konteyner ichidagi imtiyozlaringizni oshiring. Bundan tashqari, infratuzilmaga kirish imkoniga ega bo'lsangiz, ildiz huquqlari bilan konteynerga ulanishingiz mumkin, ya'ni. /etc/securetty ro'yxatida ko'rsatilgan TTY ga terminal orqali ulanish imkoniyati. Bo'sh parol bilan kirish SSH orqali bloklanadi.

orasida eng mashhur bo'sh ildiz paroli bo'lgan konteynerlar ular microsoft/azure-cli, kylemanna/openvpn, Governmentpaas/s3-resurs, phpmyadmin/phpmyadmin, mezosfera/aws-cli и hashicorp/terraform, 10 milliondan ortiq yuklab olingan. Konteynerlar ham ta'kidlangan
govuk/gemstash-alp tog'lari (500 ming), monsantoco/logstash (5 million),
avhost/docker-matrix-riot (1 million),
azuresdk/azure-cli-python (5 million)
и ciscocloud/haproxy-consul (1 million). Ushbu konteynerlarning deyarli barchasi Alp tog'lariga asoslangan va soya va linux-pam paketlaridan foydalanmaydi. Faqatgina istisno Debian asosidagi microsoft/azure-cli.

Manba: opennet.ru