測試工具的結果,用於識別未修補的漏洞並識別隔離的 Docker 容器映像中的安全性問題。 審計顯示,六分之四的已知Docker 映像掃描器包含嚴重漏洞,這些漏洞使得可以直接攻擊掃描器本身並在系統上實現其程式碼的執行,在某些情況下(例如,使用Snyk 時)具有root 權限。
要進行攻擊,攻擊者只需啟動對其 Dockerfile 或 manifest.json(其中包括專門設計的元資料)的檢查,或將 Podfile 和 gradlew 檔案放入映像中。 利用原型 對於系統
, ,
и
。 此包裝顯示出最佳的安全性 ,最初是出於安全考慮而編寫的。 包裹中也沒有發現任何問題。 。 因此,得出的結論是,Docker 容器掃描程式應在隔離環境中運行或僅用於檢查其自身的映像,並且在將此類工具連接到自動化持續整合系統時應謹慎行事。
在 FOSSA、Snyk 和 WhiteSource 中,漏洞與呼叫外部套件管理器以確定依賴性相關,並允許您透過在檔案中指定 touch 和系統命令來組織程式碼的執行 и .
Snyk 和 WhiteSource 還擁有 , 透過在解析 Dockerfile 時啟動系統命令的組織(例如,在 Snyk 中,透過 Dockefile,可以替換掃描器調用的 /bin/ls 實用程序,在 WhiteSurce 中,可以透過參數替換代碼形式「echo ';touch /tmp /hacked_whitesource_pip;=1.0 '”)。
錨定漏洞 使用實用程式 用於處理 docker 映像。 操作歸結為將諸如'"os": "$(touch hacked_anchore)"' 之類的參數添加到manifest.json 檔案中,這些參數在調用skopeo 時被替換而沒有正確的轉義(僅刪除了“; &<>”字符,但構造“$( )”)。
同一作者對使用 Docker 容器安全掃描器識別未修補漏洞的有效性以及誤報水平進行了研究(, , )。 以下是測試 73 個包含已知漏洞的鏡像的結果,並評估了確定鏡像中典型應用程式(nginx、tomcat、haproxy、gunicorn、redis、ruby、node)是否存在的有效性。
來源: opennet.ru