Prohoster > Blog > tin tức mạng > 19.4% trong số 1000 vùng chứa Docker hàng đầu chứa mật khẩu gốc trống
19.4% trong số 1000 vùng chứa Docker hàng đầu chứa mật khẩu gốc trống
Jerry Gamblin quyết định tìm hiểu xem mức độ phổ biến của những gì mới được xác định vấn đề trong hình ảnh Docker của bản phân phối Alpine, liên quan đến việc chỉ định mật khẩu trống cho người dùng root. Phân tích hàng nghìn container phổ biến nhất từ danh mục Docker Hub cho thấy, cái gì trong 194 trong số này (19.4%) mật khẩu trống được đặt cho root mà không khóa tài khoản (“root:::0:::::” thay vì “root:!::0:::::”).
Nếu vùng chứa sử dụng gói bóng và gói linux-pam, hãy sử dụng mật khẩu gốc trống cho phép nâng cao đặc quyền của bạn bên trong vùng chứa nếu bạn có quyền truy cập không có đặc quyền vào vùng chứa hoặc sau khi khai thác lỗ hổng trong một dịch vụ không có đặc quyền đang chạy trong vùng chứa. Bạn cũng có thể kết nối với vùng chứa bằng quyền root nếu bạn có quyền truy cập vào cơ sở hạ tầng, tức là. khả năng kết nối qua thiết bị đầu cuối với TTY được chỉ định trong danh sách/etc/securetty. Đăng nhập bằng mật khẩu trống sẽ bị chặn qua SSH.