সম্প্রতি পরিচিত হয়ে উঠেছে মাধ্যমে একটি ব্লগ পোস্ট, দুর্বলতা চিহ্নিত করার জন্য পরীক্ষার সরঞ্জামগুলির ফলাফল কোনও প্যাচ এবং সুরক্ষা সমস্যাগুলি সনাক্ত করতে পারে না বিচ্ছিন্ন ডকার ধারক চিত্রগুলিতে।
পরীক্ষায় দেখা গেছে যে 4 টি স্ক্যানারের মধ্যে 6 জন পরিচিত ডকার ইমেজ গুরুতর দুর্বলতা ছিল যা স্ক্যানারে নিজেই আক্রমণ করতে পারে এবং সিস্টেমে এর কোড চালানোর অনুমতি দেয়, কিছু ক্ষেত্রে (উদাহরণস্বরূপ স্নেক ব্যবহার করে) মূল সুবিধাগুলি সহ।
আক্রমণ করার জন্য, একজন আক্রমণকারীকে কেবল তার ডকফাইফিল পরীক্ষা করা শুরু করতে হবে বা ম্যানিফেস্ট.জসন, এতে বিশেষভাবে ফর্ম্যাট হওয়া মেটাডেটা রয়েছে, অথবা পডফিল এবং গ্রেডলু ফাইলগুলি চিত্রের ভিতরে রাখুন।
আমরা হোয়াইটসোর্স, স্নিক, ফোসা এবং অ্যাঙ্কর সিস্টেমগুলির জন্য প্রোটোটাইপগুলি প্রস্তুত করার জন্য পরিচালনা করি।
প্যাকেজ ক্লেয়ার, মূলত সুরক্ষার কথা মাথায় রেখেই লেখা হয়েছে, সেরা সুরক্ষা দেখিয়েছে।
ট্রিভি প্যাকেজে কোনও সমস্যা চিহ্নিত হয়নি এবং ফলস্বরূপ, এটি সিদ্ধান্তে পৌঁছে যে ডকার কনটেইনার স্ক্যানারগুলি বিচ্ছিন্ন পরিবেশে চালানো উচিত বা কেবল তাদের নিজস্ব চিত্রগুলি যাচাই করার জন্য ব্যবহার করা উচিত এবং স্বয়ংক্রিয় ক্রমাগত ইন্টিগ্রেশন সিস্টেমগুলিতে এই জাতীয় সরঞ্জামগুলি সংযুক্ত করার সময়ও সতর্কতা অবলম্বন করা উচিত।
এই স্ক্যানারগুলি জটিল এবং ত্রুটি-প্রবণ জিনিসগুলি করে। তারা ডকারের সাথে কাজ করছে, স্তর / ফাইলগুলি বের করছে, প্যাকেজ পরিচালকদের সাথে কথা বলছে বা বিভিন্ন ফর্ম্যাট বিশ্লেষণ করছে। তাদের প্রতিরক্ষা করা, বিকাশকারীদের জন্য সমস্ত ব্যবহারের ক্ষেত্রে সামঞ্জস্য করার চেষ্টা করার সময়, খুব কঠিন difficult আসুন দেখুন কীভাবে বিভিন্ন সরঞ্জামগুলি এটি করার চেষ্টা করে এবং পরিচালনা করে:
দায়বদ্ধ প্রকাশের স্কোরটি আমার ব্যক্তিগত মতামতকে প্রতিফলিত করে: আমি মনে করি যে সফ্টওয়্যার বিক্রেতাদের সুরক্ষা সম্পর্কিত প্রতিবেদনগুলির প্রতি তাদের গ্রহণযোগ্যতা দেওয়া, দুর্বলতা সম্পর্কে সৎ ও স্বচ্ছ হতে হবে, যাতে তাদের পণ্যগুলি ব্যবহার করে এমন লোকেরা সিদ্ধান্ত নিতে সঠিকভাবে অবহিত হয় তা নিশ্চিত করে আপডেট সম্পর্কে। এটিতে সর্বাধিক গুরুত্বপূর্ণ তথ্য অন্তর্ভুক্ত রয়েছে যা কোনও আপডেটে সুরক্ষা-প্রাসঙ্গিক পরিবর্তনগুলি রয়েছে, সমস্যাটি ট্র্যাক করতে এবং যোগাযোগের জন্য একটি সিভিই খোলার এবং আপনার গ্রাহকদের সম্ভাব্যভাবে অবহিত করা। আমি মনে করি যে পণ্যটি সিভিই সম্পর্কে, সফ্টওয়্যারটিতে দুর্বলতা সম্পর্কে তথ্য সরবরাহ করে কিনা তা ধরে নেওয়া বিশেষত যুক্তিযুক্ত। এছাড়াও, আমি দ্রুত প্রতিক্রিয়া, যুক্তিসঙ্গত সংশোধনের সময় এবং আক্রমণটির প্রতিবেদনের সাথে ব্যক্তির সাথে মুক্ত যোগাযোগের মাধ্যমে আশ্বাস পেয়েছি।
FOSSA, স্নিক এবং হোয়াইটসোর্সে, দুর্বলতা সম্পর্কিত ছিল কলিং সহ বাহ্যিক প্যাকেজ ম্যানেজারের কাছে নির্ভরতা নির্ধারণ করতে এবং গ্রেডলিউ এবং পডফাইলে ফাইলগুলিতে স্পর্শ এবং সিস্টেম কমান্ড উল্লেখ করে আপনার কোডের সম্পাদনের ব্যবস্থা করার অনুমতি দেয়।
En স্নেক এবং হোয়াইটসোর্স লঞ্চ সিস্টেম কমান্ডগুলির সাথে যুক্ত একটি দুর্বলতাও পেয়েছিল সংস্থা যা ডকফাইফিলকে পার্স করেছে (উদাহরণস্বরূপ, স্নেকে ডকফিলের মাধ্যমে আপনি ইউটিলিটি ls (/ bin / ls) প্রতিস্থাপন করতে পারেন, স্ক্যানারের ফলে এবং হোয়াইটসুরসে আপনি "প্রতিধ্বনি" আকারে আর্গুমেন্টের মাধ্যমে কোডটি প্রতিস্থাপন করতে পারবেন; আলতো চাপুন / tmp / হ্যাকড_ওয়াইটসোর্স_পিপ; = 1.0 '«)।
অ্যাঙ্কোরে, স্কোপিও ইউটিলিটি ব্যবহারের ফলে দুর্বলতা দেখা দিয়েছে ডকার ইমেজ নিয়ে কাজ করতে। অপারেশনটি '»OS»: «$ (হ্যাকড_আনচোরের স্পর্শ) form' ফর্মটির প্যারামিটার যোগ করার জন্য হ্রাস করা হয়েছিল, যা যথাযথ অব্যাহতি ছাড়াই স্কোপিও কল করার সময় প্রতিস্থাপন করা হয় (কেবলমাত্র অক্ষরগুলি«; & <অপসারণ করা হয়েছিল) > ", তবে" $ () ") নির্মাণ করুন।
একই লেখক দুর্বলতা সনাক্তকরণের কার্যকারিতা নিয়ে একটি গবেষণা চালিয়েছেন প্যাচড না সুরক্ষা স্ক্যানারগুলির মাধ্যমে ডকার পাত্রে এবং মিথ্যা ধনাত্মক স্তরের।
লেখক ছাড়াও যুক্তি দেয় যে এই সরঞ্জামগুলির বেশ কয়েকটি নির্ভরতা সমাধানের জন্য সরাসরি প্যাকেজ পরিচালকদের ব্যবহার করুন। এটি তাদের রক্ষা করা বিশেষত কঠিন করে তোলে। কিছু নির্ভরতা পরিচালকদের কনফিগারেশন ফাইল রয়েছে যা শেল কোড অন্তর্ভুক্ত করতে দেয়।
এমনকি যদি এই সহজ উপায়গুলি কোনওভাবে পরিচালনা করা হয় তবে এই প্যাকেজ পরিচালকদের কল করার অর্থ অবশ্যম্ভাবী অর্থ ছিনতাই। এটি, হালকাভাবে রাখার জন্য, অ্যাপ্লিকেশনটির প্রতিরক্ষা সহজতর করে না।
দুর্বলতাযুক্ত 73 টি চিত্রের পরীক্ষার ফলাফল পরিচিত, পাশাপাশি চিত্রগুলিতে আদর্শ অ্যাপ্লিকেশনগুলির উপস্থিতি নির্ধারণের কার্যকারিতার মূল্যায়ন (এনজিনেক্স, টমক্যাট, হ্যাপ্রোক্সি, গ্যানিকর্ন, রেডিস, রুবি, নোড), পরামর্শ করা যেতে পারে প্রকাশনার মধ্যে নীচের লিঙ্কে।