Docker 컨테이너를 스캔 할 때 몇 가지 취약점이 발견되었습니다.

도커 해킹

최근에 알려졌다 통해 블로그 게시물, 취약점을 식별하기위한 테스트 도구의 결과 패치 없음 및 보안 문제 식별 격리 된 Docker 컨테이너 이미지에서.

테스트 결과 4 개의 스캐너 중 6 개가 알려진 Docker 이미지 심각한 취약성이 있음 이는 스캐너 자체를 공격하고 시스템에서 코드를 실행할 수 있도록 허용했습니다 (예 : Snyk 사용).

공격의 경우 공격자는 Dockerfile 확인을 시작하기 만하면됩니다. 또는 특별히 형식이 지정된 메타 데이터를 포함하는 manifest.json, 또는 Podfile 및 gradlew 파일을 이미지 안에 넣으십시오.

WhiteSource, Snyk, Fossa 및 anchore 시스템에 대한 익스플로잇 프로토 타입을 준비합니다.

엘 파 케테 클레어, 원래 안전을 염두에두고 작성되었습니다. 최고의 보안을 보여주었습니다.

Trivy 패키지에서 확인 된 문제 없음 결과적으로 Docker 컨테이너 스캐너는 격리 된 환경에서 실행되거나 자체 이미지를 확인하는 데만 사용되어야하며 이러한 도구를 자동화 된 연속 통합 시스템에 연결할 때주의해야한다는 결론을 내 렸습니다.

이러한 스캐너는 복잡하고 오류가 발생하기 쉬운 작업을 수행합니다. 그들은 도커를 다루고, 레이어 / 파일을 추출하고, 패키지 관리자와 상호 작용하거나 다른 형식을 분석합니다. 개발자를위한 모든 사용 사례를 수용하려고 노력하면서이를 방어하는 것은 매우 어렵습니다. 다양한 도구가이를 수행하고 관리하는 방법을 살펴 보겠습니다.

책임 공개 점수는 내 개인적인 의견을 반영합니다. 소프트웨어 공급 업체가보고 된 보안 문제를 수용하고, 취약성에 대해 정직하고 투명하게, 제품을 사용하는 사람들이 결정을 내릴 수 있도록 적절한 정보를 제공하는 것이 중요하다고 생각합니다. 업데이트에 대해. 여기에는 업데이트에 보안 관련 변경 사항이 있다는 가장 중요한 정보가 포함되며, CVE를 열어 문제를 추적하고 통신하며 잠재적으로 고객에게 알릴 수 있습니다. 제품이 소프트웨어의 취약성에 대한 정보를 제공하는 CVE에 관한 것이라고 가정하는 것이 특히 합리적이라고 생각합니다. 또한 빠른 대응, 합리적인 수정 시간, 공격을 신고 한 사람과의 열린 소통에 안심이됩니다.

FOSSA, Snyk 및 WhiteSource에서 취약점이 관련되었습니다. 전화로 외부 패키지 관리자에게 종속성을 확인하고 gradlew 및 Podfile 파일에 터치 및 시스템 명령을 지정하여 코드 실행을 구성 할 수 있습니다.

En Snyk와 WhiteSource는 시스템 실행 명령과 관련된 취약점도 발견했습니다. Dockerfile을 구문 분석 한 조직 (예 : Dockefile을 통한 Snyk에서는 스캐너로 인한 유틸리티 ls (/ bin / ls)를 대체 할 수 있으며 WhiteSurce에서는 "echo"형식의 인수를 통해 코드를 대체 할 수 있습니다. / tmp / hacked_whitesource_pip; = 1.0 '«).

Anchore에서 취약점은 skopeo 유틸리티 사용으로 인해 발생했습니다. 도커 이미지로 작업합니다. 적절한 이스케이프없이 skopeo를 호출 할 때 대체되는 manifest.json 파일에 '»os»:«$ (touch hacked_anchore)»'형식의 매개 변수를 추가하는 것으로 작업이 축소되었습니다 (문자«; & <만 제거됨). > ", 그러나 구조"$ () ").

같은 저자가 취약점 탐지의 효과에 대한 연구를 수행했습니다. 패치되지 않음 보안 스캐너를 통해 도커 컨테이너 수 및 오 탐지 수준.

저자 외에 이러한 도구 중 몇 가지는 패키지 관리자를 직접 사용하여 종속성 해결. 이것은 특히 방어하기 어렵게 만듭니다. 일부 종속성 관리자에는 쉘 코드를 포함 할 수있는 구성 파일이 있습니다. 

이러한 간단한 방법이 어떻게 든 처리 되더라도 이러한 패키지 관리자를 호출하는 것은 필연적으로 돈을 버는 것을 의미합니다. 이것은 가볍게 말하면 애플리케이션의 방어를 용이하게하지 않습니다.

취약점이있는 73 개 이미지에 대한 테스트 결과 이미지 (nginx, tomcat, haproxy, gunicorn, redis, ruby, node)에서 일반적인 응용 프로그램의 존재를 확인하는 효과 평가 상담 가능 출판물 내에서 다음 링크에서.


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

코멘트를 첫번째로 올려

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.