Ob peb muaj kev tiv thaiv kab mob tau pom thaum ntsaws cov kab nrib Docker

docker-hacked

Nyuam qhuav dhau los paub dhau los Blog teb, cov txiaj ntsig ntawm kev sim cov cuab yeej los txheeb xyuas qhov tsis taus tsis muaj thaj thiab txheeb xyuas kev ruaj ntseg nyob rau hauv raug rho tawm Docker thawv cov duab.

Qhov ntsuas pom tau tias ntawm 4 ntawm 6 lub ntsuas cua paub Docker cov duab muaj qhov tsis yooj yim tseem ceeb uas tso cai tawm tsam lub scanner nws tus kheej thiab khiav nws txoj cai ntawm lub system, qee qhov xwm txheej (siv Snyk piv txwv) nrog cov cai hauv paus.

Rau kev tawm tsam, tus tsim tawm tshiab tsuas yog xav kom pib tshawb xyuas nws Dockerfile lossis manifest.json, suav nrog qhov tshwj xeeb uas muaj metadata, lossis muab cov ntaub ntawv podfile thiab gradlew sab hauv duab.

Peb tswj hwm los npaj siv cov qauv rau WhiteSource, Snyk, Fossa thiab anchore.

Pob Clair, Ameslikas sau nrog kev nyab xeeb nyob rau hauv lub siab, pom zoo tshaj plaws kev nyab xeeb.

Tsis muaj teeb meem tshwm sim hauv Trivy pob thiab raws li qhov tshwm sim, nws tau xaus lus tias Docker thawv cov ntawv sib tw yuav tsum tau khiav hauv qhov chaw sib cais lossis siv tsuas yog xyuas cov duab lawv tus kheej nkaus xwb, thiab tseem yuav tsum ceev faj thaum sib txuas cov cuab yeej no rau cov kev sib koom ua ke cov tshuab txuas ntxiv mus.

Cov scanners no ua cov khoom tsis yooj yim thiab yuam kev. Lawv muaj kev cuam tshuam nrog cov docker, rho tawm cov khaubncaws sab nraud povtseg / ntaub ntawv, sib cuam tshuam nrog cov tswj hwm pob, lossis txheeb xyuas cov qauv sib txawv. Kev tiv thaiv lawv, thaum sim ua kom haum raws li txhua txoj kev siv rau cov tsim tawm, nws nyuaj heev. Cia pom tias cov cuab yeej sib txawv sim thiab tswj ua nws li cas:

Lub luag haujlwm ntawm cov ntaub ntawv tshaj tawm tau cuam tshuam txog kuv li kev xav: Kuv xav tias nws yog ib qho tseem ceeb rau cov neeg muag khoom software kom muaj kev txaus siab rau cov teeb meem kev nyab xeeb tau qhia rau lawv, kom ua siab ncaj thiab pob tshab txog qhov tsis zoo, kom ntseeg tau tias cov neeg siv lawv cov khoom qhia kom zoo los txiav txim siab txog kev hloov kho tshiab. Qhov no suav nrog cov ntaub ntawv saum toj kawg nkaus uas ib qho hloov tshiab muaj kev hloov pauv kev nyab xeeb-qhib, qhib CVE los taug qab thiab sib txuas lus txog qhov teeb meem, thiab muaj peev xwm ceeb toom koj cov neeg siv khoom. Kuv xav tias qhov no tshwj xeeb tshaj yog xav tias yog qhov khoom lag luam txog CVE, muab cov ntaub ntawv hais txog qhov tsis yooj yim hauv software. Tsis tas li, kuv tau txais kev lees paub los ntawm cov lus teb sai, lub sijhawm tsim nyog kho, thiab qhib kev sib txuas lus nrog tus neeg ceeb toom ntawm kev tawm tsam.

Ntawm FOSSA, Snyk thiab WhiteSource, qhov tsis zoo yog cuam tshuam nrog hu rau tus neeg saib xyuas pob khoom sab nraud txhawm rau txiav txim siab qhov vam khom thiab cia koj los npaj qhov kev tua ntawm koj cov cai los ntawm kev qhia kom paub kov thiab cov kab ke system nyob rau hauv gradlew thiab Podfile cov ntaub ntawv.

En Snyk thiab WhiteSource tseem pom qhov tsis muaj zog, cuam tshuam nrog lub community launch system commands lub koom haum uas txheeb Dockerfile (piv txwv li, hauv Snyk ntawm Dockefile koj tuaj yeem hloov lub chaw tso dej hluav taws xob ls (/ bin / ls), tshwm sim los ntawm lub scanner thiab hauv WhiteSurce koj tuaj yeem hloov cov code los ntawm kev sib cav hauv daim ntawv ntawm "echo" ; kais /tmp/hacked_whitesource_pip ;=1.0 '«).

Hauv Anchore, qhov tsis muaj zog yog tshwm sim los ntawm kev siv hluav taws xob skopeo mus ua haujlwm nrog docker cov duab. Lub lag luam tau txo qis rau ntxiv cov kev txwv ntawm daim ntawv '»os»: «$ (kov hacked_anchore)»' rau cov ntaub ntawv manifest.json, uas tau hloov thaum hu skopeo yam tsis muaj kev khiav dim (tsuas yog cov cim «; & <tau raug tshem tawm > ", Tab sis kev tsim kho" $ () ").

Tus kws sau ntawv tib leeg ua qhov kev tshawb fawb txog qhov ua tau zoo ntawm kev tsis muaj kev tiv thaiv kom txhob raug tsis yog patched los ntawm kev tiv thaiv kev nyab xeeb ntawm docker ntim thiab theem ntawm cuav cuav.

Dhau li ntawm tus sau sib cav hais tias ob peb ntawm cov cuab yeej no ncaj qha siv cov thawj coj hauv pob los daws cov teeb meemCov. Qhov no ua rau lawv tshwj xeeb nyuaj los tiv thaiv. Qee tus neeg tswj hwm kev tswj hwm muaj cov ntaub ntawv teeb tsa uas tso cai rau suav nrog lub plhaub chaws. 

Txawm hais tias cov kev yooj yim no yog qee qhov tau tuav, hu rau cov tswj hwm pob khoom no yuav yog qhov cuam tshuam rau kev plhaub nyiaj. Qhov no, kom muab nws mob me, tsis muaj kev yooj yim rau kev tiv thaiv ntawm daim ntawv thov.

Kev ntsuas cov txiaj ntsig ntawm 73 cov duab uas muaj qhov tsis muaj zog paub, nrog rau kev ntsuam xyuas cov txiaj ntsig ntawm kev txiav txim siab los txiav txim siab pom muaj cov kev siv raug nyob hauv cov duab (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), tuaj yeem sab laj tsis pub dhau ntawv tshaj tawm Hauv txuas hauv qab no.


Cov ntsiab lus ntawm tsab xov xwm ua raws li peb cov ntsiab cai ntawm kev tswj hwm kev ncaj nceesCov. Tshaj tawm ib qho yuam kev nyem no.

Yog thawj tus tuaj tawm tswv yim

Tso koj saib

Koj email chaw nyob yuav tsis tsum luam tawm. Yuav tsum tau teb cov cim nrog *

*

*

  1. Lub luag haujlwm rau cov ntaub ntawv: Miguel Ángel Gatón
  2. Lub hom phiaj ntawm cov ntaub ntawv: Tswj SPAM, kev tswj xyuas tawm tswv yim.
  3. Sau raws cai: Koj kev tso cai
  4. Kev sib txuas lus ntawm cov ntaub ntawv: Cov ntaub ntawv yuav tsis raug xa mus rau lwm tus neeg thib peb tsuas yog los ntawm kev txiav txim siab raug cai.
  5. Cov ntaub ntawv khaws cia: Cov Ntaub Ntawv khaws tseg los ntawm Occentus Networks (EU)
  6. Txoj Cai: Txhua lub sijhawm koj tuaj yeem txwv, rov qab thiab tshem tawm koj cov ntaub ntawv.