Vor kurzem wurde bekannt durch ein Blog-Beitrag, die Ergebnisse von Testtools zur Identifizierung von Schwachstellen kein Patch und identifizieren Sicherheitsprobleme in isolierten Docker-Container-Bildern.
Der Test ergab, dass 4 der 6 Scanner bekannte Docker-Bilder hatte kritische Schwachstellen Dadurch konnte der Scanner selbst angegriffen und sein Code auf dem System ausgeführt werden, in einigen Fällen (z. B. mit Snyk) mit Root-Rechten.
Für einen Angriff Ein Angreifer muss nur seine Docker-Datei überprüfen oder manifest.json, das speziell formatierte Metadaten enthält, oder legen Sie die Podfile- und Gradlew-Dateien in das Bild.
Es gelingt uns, Exploit-Prototypen für WhiteSource-, Snyk-, Fossa- und Ankersysteme vorzubereiten.
El Paquete Clair, ursprünglich mit Blick auf die Sicherheit geschrieben, zeigte die beste Sicherheit.
Im Trivy-Paket wurden keine Probleme festgestellt Infolgedessen wurde der Schluss gezogen, dass Docker-Containerscanner in isolierten Umgebungen ausgeführt oder nur zur Überprüfung ihrer eigenen Bilder verwendet werden sollten. Seien Sie auch vorsichtig, wenn Sie solche Tools an automatisierte kontinuierliche Integrationssysteme anschließen.
Diese Scanner erledigen komplizierte und fehleranfällige Dinge. Sie beschäftigen sich mit dem Docker, extrahieren Ebenen / Dateien, interagieren mit Paketmanagern oder analysieren verschiedene Formate. Es ist sehr schwierig, sie zu verteidigen, während versucht wird, alle Anwendungsfälle für Entwickler zu berücksichtigen. Mal sehen, wie die verschiedenen Tools versuchen, dies zu erreichen:
Der Score für verantwortungsbewusste Offenlegung spiegelt meine persönliche Meinung wider: Ich denke, es ist wichtig, dass Softwareanbieter auf Sicherheitsprobleme reagieren, ehrlich und transparent über Schwachstellen sind und sicherstellen, dass die Personen, die ihre Produkte verwenden sind ordnungsgemäß informiert, um Entscheidungen über das Update zu treffen. Dies umfasst die wichtigsten Informationen, die ein Update für sicherheitsrelevante Änderungen enthält, das Öffnen eines CVE, um das Problem zu verfolgen und zu kommunizieren und möglicherweise Ihre Kunden zu benachrichtigen. Ich denke, dies ist besonders vernünftig anzunehmen, wenn es sich bei dem Produkt um CVE handelt und Informationen zu Schwachstellen in der Software enthält. Ich bin auch beruhigt über die schnelle Reaktion, die angemessenen Korrekturzeiten und die offene Kommunikation mit der Person, die den Angriff meldet.
Bei FOSSA, Snyk und WhiteSource war die Sicherheitsanfälligkeit verwandt mit anrufen an einen externen Paketmanager um die Abhängigkeiten zu bestimmen und die Ausführung Ihres Codes zu organisieren, indem Sie die Touch- und Systembefehle in den Dateien gradlew und Podfile angeben.
En Snyk und WhiteSource haben auch eine Sicherheitslücke gefunden, die mit den Startsystembefehlen verbunden ist Organisation, die Dockerfile analysiert hat (in Snyk über Dockefile könnten Sie beispielsweise das vom Scanner verursachte Dienstprogramm ls (/ bin / ls) ersetzen und in WhiteSurce den Code durch die Argumente in Form von "echo" ersetzen. ; tippen Sie auf /tmp/hacked_whitesource_pip;=1.0 '«).
In Anchore wurde die Sicherheitsanfälligkeit durch die Verwendung des Dienstprogramms skopeo verursacht mit Docker-Bildern arbeiten. Die Operation wurde auf das Hinzufügen von Parametern der Form '»os»: «$ (touch hacked_anchore)»' zur Datei manifest.json reduziert, die durch den Aufruf von skopeo ohne ordnungsgemäße Escapezeichen ersetzt werden (nur die Zeichen «; & <wurden entfernt > ", Aber das Konstrukt" $ () ").
Der gleiche Autor führte eine Studie zur Wirksamkeit der Erkennung von Sicherheitslücken durch nicht gepatcht über Sicherheitsscanner von Docker-Containern und die Höhe der Fehlalarme.
Neben dem Autor argumentiert, dass mehrere dieser Tools Verwenden Sie Paketmanager direkt, um Abhängigkeiten aufzulösen. Dies macht es besonders schwierig, sie zu verteidigen. Einige Abhängigkeitsmanager verfügen über Konfigurationsdateien, die die Aufnahme von Shell-Code ermöglichen.
Selbst wenn diese einfachen Wege irgendwie gehandhabt werden, bedeutet das Anrufen dieser Paketmanager unweigerlich, Geld auszugeben. Dies erleichtert, gelinde gesagt, die Verteidigung des Antrags nicht.
Testergebnisse für 73 Bilder mit Sicherheitslücken bekannt, sowie eine Bewertung der Wirksamkeit zur Bestimmung des Vorhandenseins typischer Anwendungen in Bildern (Nginx, Tomcat, Haproxy, Gunicorn, Redis, Ruby, Node), kann konsultiert werden innerhalb der Veröffentlichung gemacht im folgenden Link.