19% ti awọn aworan Docker oke ko ni ọrọ igbaniwọle gbongbo

Ọjọ Satidee to kọja, Oṣu Karun ọjọ 18th, Jerry Gamblin ti Aabo Kenna ẹnikeji 1000 ti awọn aworan olokiki julọ lati Docker Hub da lori ọrọ igbaniwọle gbongbo ti wọn lo. Ni 19% ti awọn ọran o ṣofo.

Lẹhin pẹlu Alpine

Idi fun iwadii-kekere naa ni Ijabọ Ipalara Talos ti o han ni ibẹrẹ oṣu yii (TALOS-2019-0782), awọn onkọwe eyiti - o ṣeun si wiwa ti Peter Adkins lati Cisco Umbrella - royin pe awọn aworan Docker pẹlu pinpin eiyan Alpine olokiki ko ni ọrọ igbaniwọle gbongbo:

“Awọn ẹya osise ti awọn aworan Alpine Linux Docker (lati v3.3) ni ọrọ igbaniwọle NULL kan fun olumulo gbongbo. Ailagbara yii jẹ abajade lati ipadasẹhin ti a ṣafihan ni Oṣu kejila ọdun 2015. Itumọ ti eyi ni pe awọn eto ti a gbe lọ pẹlu awọn ẹya iṣoro ti Alpine Linux ninu apo eiyan kan ati lilo Linux PAM tabi ẹrọ miiran ti o lo faili ojiji eto bi ibi ipamọ data ijẹrisi le gba ọrọ igbaniwọle NULL kan fun olumulo gbongbo. ”

Awọn ẹya ti awọn aworan Docker pẹlu Alpine idanwo fun iṣoro naa jẹ 3.3 – 3.9 ifisi, bakanna bi itusilẹ tuntun ti eti.

Awọn onkọwe ṣe iṣeduro wọnyi fun awọn olumulo ti o kan:

“Akọọlẹ gbongbo gbọdọ jẹ alaabo ni gbangba ni awọn aworan Docker ti a ṣe lati awọn ẹya iṣoro ti Alpine. Iwa ilokulo ti ailagbara da lori agbegbe, nitori aṣeyọri rẹ nilo iṣẹ ti a firanṣẹ ni ita tabi ohun elo nipa lilo Lainos PAM tabi ẹrọ miiran ti o jọra. ”

Iṣoro naa jẹ imukuro ni awọn ẹya Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 ati eti (20190228 foto), ati awọn oniwun ti awọn aworan ti o kan ni a beere lati sọ asọye laini pẹlu gbongbo ninu /etc/shadow tabi rii daju pe package ti nsọnu linux-pam.

Tẹsiwaju pẹlu Docker Hub

Jerry Gamblin pinnu lati ni iyanilenu nipa “bawo ni iṣe ti lilo awọn ọrọ igbaniwọle asan ninu awọn apoti ṣe le jẹ.” Fun idi eyi o kọ kekere kan Bash akosile, koko ti o rọrun pupọ:

• nipasẹ ibeere curl si API ni Docker Hub, atokọ ti awọn aworan Docker ti o gbalejo nibẹ ti beere;
• nipasẹ jq o ti wa ni lẹsẹsẹ nipasẹ aaye popularity, ati lati awọn esi ti o gba, ẹgbẹrun akọkọ ku;
• fun olukuluku wọn o ti ṣẹ docker pull;
• fun aworan kọọkan ti o gba lati Docker Hub ti wa ni ṣiṣe docker run pẹlu kika akọkọ ila lati awọn faili /etc/shadow;
• ti o ba ti iye ti awọn okun jẹ dogba si root:::0:::::, orukọ aworan ti wa ni ipamọ ni faili ọtọtọ.

Kini o ti ṣẹlẹ? IN faili yii Awọn laini 194 wa pẹlu awọn orukọ ti awọn aworan Docker olokiki pẹlu awọn eto Linux, ninu eyiti olumulo gbongbo ko ni ṣeto ọrọ igbaniwọle kan:

“Lara awọn orukọ olokiki julọ lori atokọ yii ni govuk/governmentpaas, hashicorp, microsoft, monsanto ati mesosphere. Ati kylemanna/openvpn jẹ apoti ti o gbajumọ julọ lori atokọ naa, awọn iṣiro rẹ lapapọ ju miliọnu mẹwa 10 fa.”

O tọ lati ranti, sibẹsibẹ, pe iṣẹlẹ yii funrararẹ ko tumọ si ailagbara taara ni aabo awọn eto ti o lo wọn: gbogbo rẹ da lori bii wọn ṣe lo wọn ni deede. (wo asọye lati ọran Alpine loke). Bibẹẹkọ, a ti rii “iwa ti itan naa” ni ọpọlọpọ igba: ayedero ti o han gbangba nigbagbogbo ni ipadabọ, eyiti o gbọdọ ranti nigbagbogbo ati awọn abajade eyiti o ṣe akiyesi ninu awọn oju iṣẹlẹ ohun elo imọ-ẹrọ rẹ.

PS

Ka tun lori bulọọgi wa:

• «Awọn iṣiro lori awọn ọna ṣiṣe abẹlẹ ni awọn aworan lori Ipele Docker»;
• «Docker ati Kubernetes ni awọn agbegbe ti o ni imọra aabo»;
• «Ailagbara CVE-2019-5736 ni runc, eyiti o fun ọ laaye lati jèrè awọn ẹtọ gbongbo lori agbalejo»;
• «Docker VM ipalara - adojuru foju fun Docker ati pentesting».

orisun: www.habr.com