Docker 컨테이너를 스캔 할 때 몇 가지 취약점이 발견되었습니다.

최근에 알려졌다 통해 블로그 게시물, 취약점을 식별하기위한 테스트 도구의 결과 패치 없음 및 보안 문제 식별 격리 된 Docker 컨테이너 이미지에서.

테스트 결과 4 개의 스캐너 중 6 개가 알려진 Docker 이미지 심각한 취약성이 있음 이는 스캐너 자체를 공격하고 시스템에서 코드를 실행할 수 있도록 허용했습니다 (예 : Snyk 사용).

공격의 경우 공격자는 Dockerfile 확인을 시작하기 만하면됩니다. 또는 특별히 형식이 지정된 메타 데이터를 포함하는 manifest.json, 또는 Podfile 및 gradlew 파일을 이미지 안에 넣으십시오.

WhiteSource, Snyk, Fossa 및 anchore 시스템에 대한 익스플로잇 프로토 타입을 준비합니다.

엘 파 케테 클레어, 원래 안전을 염두에두고 작성되었습니다. 최고의 보안을 보여주었습니다.

Trivy 패키지에서 확인 된 문제 없음 결과적으로 Docker 컨테이너 스캐너는 격리 된 환경에서 실행되거나 자체 이미지를 확인하는 데만 사용되어야하며 이러한 도구를 자동화 된 연속 통합 시스템에 연결할 때주의해야한다는 결론을 내 렸습니다.

FOSSA, Snyk 및 WhiteSource에서 취약점이 관련되었습니다. 전화로 외부 패키지 관리자에게 종속성을 확인하고 gradlew 및 Podfile 파일에 터치 및 시스템 명령을 지정하여 코드 실행을 구성 할 수 있습니다.

En Snyk와 WhiteSource는 시스템 실행 명령과 관련된 취약점도 발견했습니다. Dockerfile을 구문 분석 한 조직 (예 : Dockefile을 통한 Snyk에서는 스캐너로 인한 유틸리티 ls (/ bin / ls)를 대체 할 수 있으며 WhiteSurce에서는 "echo"형식의 인수를 통해 코드를 대체 할 수 있습니다. / tmp / hacked_whitesource_pip; = 1.0 '«).

Anchore에서 취약점은 skopeo 유틸리티 사용으로 인해 발생했습니다. 도커 이미지로 작업합니다. 적절한 이스케이프없이 skopeo를 호출 할 때 대체되는 manifest.json 파일에 '»os»:«$ (touch hacked_anchore)»'형식의 매개 변수를 추가하는 것으로 작업이 축소되었습니다 (문자«; & <만 제거됨). > ", 그러나 구조"$ () ").

같은 저자가 취약점 탐지의 효과에 대한 연구를 수행했습니다. 패치되지 않음 보안 스캐너를 통해 도커 컨테이너 수 및 오 탐지 수준.

저자 외에 이러한 도구 중 몇 가지는 패키지 관리자를 직접 사용하여 종속성 해결. 이것은 특히 방어하기 어렵게 만듭니다. 일부 종속성 관리자에는 쉘 코드를 포함 할 수있는 구성 파일이 있습니다. 

이러한 간단한 방법이 어떻게 든 처리 되더라도 이러한 패키지 관리자를 호출하는 것은 필연적으로 돈을 버는 것을 의미합니다. 이것은 가볍게 말하면 애플리케이션의 방어를 용이하게하지 않습니다.

취약점이있는 73 개 이미지에 대한 테스트 결과 이미지 (nginx, tomcat, haproxy, gunicorn, redis, ruby, node)에서 일반적인 응용 프로그램의 존재를 확인하는 효과 평가 상담 가능 출판물 내에서 다음 링크에서.