डॉकटर कंटेनरों को स्कैन करते समय कई कमजोरियां पाई गईं

हाल ही में जाना गया mediante एक ब्लॉग पोस्ट, कमजोरियों की पहचान करने के लिए परीक्षण उपकरणों के परिणाम कोई पैच नहीं और सुरक्षा मुद्दों की पहचान करें पृथक डॉकटर कंटेनर छवियों में।

परीक्षण से पता चला कि 4 स्कैनर में से 6 ज्ञात डॉकटर चित्र महत्वपूर्ण कमजोरियां थीं जो रूट स्कैनर के साथ ही स्कैनर पर हमला करने और सिस्टम पर अपना कोड चलाने की अनुमति देता है, कुछ मामलों में (उदाहरण के लिए Snyk का उपयोग करके)।

एक हमले के लिए, एक हमलावर को बस अपने डॉकरफाइल की जांच शुरू करनी होगी या मैनिफ़ेस्ट.जॉन, जिसमें विशेष रूप से स्वरूपित मेटाडेटा शामिल है, या छवि के अंदर पॉडफाइल और ग्रेडलेव फाइल रखें।

हम व्हाईटसोर्स, स्नेक, फोसा और एंकर सिस्टम के लिए शोषण प्रोटोटाइप तैयार करने का प्रबंधन करते हैं।

एल Paquete क्लेयर, मूल रूप से सुरक्षा को ध्यान में रखते हुए लिखा गया है, सबसे अच्छी सुरक्षा दिखाई।

त्रैमासिक पैकेज में कोई समस्या नहीं पहचानी गई और इसके परिणामस्वरूप, यह निष्कर्ष निकाला गया कि डॉकर कंटेनर स्कैनर को अलग-थलग वातावरण में चलाया जाना चाहिए या केवल अपनी छवियों को सत्यापित करने के लिए उपयोग किया जाना चाहिए, और ऐसे उपकरणों को स्वचालित निरंतर एकीकरण प्रणालियों से कनेक्ट करते समय भी सावधान रहना चाहिए।

FOSSA, Snyk और WhiteSource में, भेद्यता संबंधित थी कॉलिंग के साथ एक बाहरी पैकेज प्रबंधक के लिए निर्भरता निर्धारित करने के लिए और आपको gradlew और पॉडफाइल फ़ाइलों में टच और सिस्टम कमांड निर्दिष्ट करके अपने कोड के निष्पादन को व्यवस्थित करने की अनुमति देता है।

En Snyk और WhiteSource ने एक भेद्यता भी पाई, जो लॉन्च सिस्टम कमांड्स से जुड़ा था Dockerfile (उदाहरण के लिए, Dockefile के माध्यम से Snyk में, आप उपयोगिता ls (/ bin / ls) को बदल सकते हैं, जो स्कैनर के कारण होता है और WhiteSurce में आप "echo" टैप के रूप में तर्कों के माध्यम से कोड बदल सकते हैं। tmp / hacked_whitesource_pip; = 1.0 '«)।

एंकर में, स्कोपो उपयोगिता के उपयोग के कारण भेद्यता हुई डॉकटर छवियों के साथ काम करने के लिए। मैनिफ़ेस्ट.जसन फ़ाइल में फ़ॉर्म '' os »:« $ (स्पर्श hacked_anchore) »'' को जोड़ने के लिए ऑपरेशन को कम कर दिया गया था, जिसे स्कोपो को एक उचित एस्केप (केवल वर्णों) के बिना कॉल करने पर प्रतिस्थापित किया जाता है; & <; > ", लेकिन निर्माण" $ () ")।

उसी लेखक ने भेद्यता का पता लगाने की प्रभावशीलता पर एक अध्ययन किया पैच नहीं किया गया सुरक्षा स्कैनर के माध्यम से डॉकटर कंटेनर और झूठे सकारात्मक का स्तर।

लेखक के अलावा तर्क है कि इनमें से कई उपकरण हैं निर्भरता को हल करने के लिए सीधे पैकेज प्रबंधकों का उपयोग करें। इससे उन्हें विशेष रूप से बचाव करना मुश्किल हो जाता है। कुछ निर्भरता प्रबंधकों के पास कॉन्फ़िगरेशन फ़ाइलें हैं जो शेल कोड को शामिल करने की अनुमति देती हैं। 

यहां तक ​​कि अगर इन सरल तरीकों को किसी भी तरह से संभाला जाता है, तो इन पैकेज प्रबंधकों को कॉल करने का अर्थ अनिवार्य रूप से धन को बाहर करना होगा। यह, इसे हल्के ढंग से लगाने के लिए, आवेदन की रक्षा की सुविधा नहीं देता है।

कमजोरियों वाले 73 छवियों का परीक्षण परिणाम ज्ञात है, साथ ही छवियों में विशिष्ट अनुप्रयोगों की उपस्थिति (nginx, tomcat, haproxy, gunicorn, redis, ruby, नोड) निर्धारित करने के लिए प्रभावशीलता का मूल्यांकन, परामर्श किया जा सकता है प्रकाशन के भीतर निम्नलिखित लिंक में