नुकतीच ओळख झाली mediante ब्लॉग पोस्ट, असुरक्षा ओळखण्यासाठी चाचणी साधनांचा परिणाम सुरक्षिततेचे कोणतेही पॅच नाही आणि ओळखा वेगळ्या डॉकर कंटेनर प्रतिमांमध्ये.
चाचणी दर्शविते की 4 पैकी 6 स्कॅनर ज्ञात डॉकर प्रतिमा गंभीर असुरक्षितता होती ज्याने स्कॅनरवरच हल्ला करण्याची आणि प्रणालीवर कोड चालविण्याची परवानगी दिली, काही प्रकरणांमध्ये (उदाहरणार्थ स्नीक वापरुन) रूट विशेषाधिकारांसह.
हल्ल्यासाठी, आक्रमणकर्त्याला फक्त त्याच्या डॉकफाइलची तपासणी करणे आवश्यक आहे किंवा मॅनिफेस्ट.जेसन, ज्यात विशेष स्वरूपित मेटाडेटा समाविष्ट आहे, किंवा पॉडफाईल आणि ग्रेडल्यू फाईल्स इमेजच्या आत ठेवा.
आम्ही व्हाइटसोर्स, स्निक, फोसा आणि अँकर प्रणाल्यांसाठी शोषित प्रोटोटाइप तयार करण्याचे व्यवस्थापित करतो.
पॅकेज क्लेअर, मुळात सुरक्षिततेने लिहिलेले उत्तम सुरक्षा दर्शविली.
ट्रिव्हि पॅकेजमध्ये कोणतीही समस्या ओळखली गेली नाही आणि परिणामी, असा निष्कर्ष काढला गेला की डॉकर कंटेनर स्कॅनर्स वेगळ्या वातावरणात चालवावेत किंवा फक्त त्यांच्या स्वत: च्या प्रतिमा सत्यापित करण्यासाठीच वापरावेत आणि अशा साधनांना स्वयंचलित अखंड एकीकरण सिस्टमशी कनेक्ट करताना देखील सावधगिरी बाळगा.
हे स्कॅनर क्लिष्ट आणि त्रुटी-प्रवण गोष्टी करतात. ते डॉकरसह व्यवहार करीत आहेत, स्तर / फाइल्स काढत आहेत, पॅकेज व्यवस्थापकांशी संवाद साधत आहेत किंवा भिन्न स्वरूपांचे विश्लेषण करीत आहेत. त्यांचा बचाव करणे, विकसकांसाठी सर्व वापर प्रकरणे सामावून घेण्याचा प्रयत्न करीत असताना, ते अवघड आहे. हे करण्यासाठी भिन्न साधने कशी प्रयत्न करतात आणि व्यवस्थापित करतात ते पाहूया:
जबाबदार प्रकटीकरण स्कोअर माझे वैयक्तिक मत प्रतिबिंबित करते: सॉफ्टवेअर विक्रेत्यांनी त्यांच्याकडे नोंदविलेल्या सुरक्षा मुद्द्यांबाबत रिसेप्टिव्ह असणे, असुरक्षा विषयी प्रामाणिक व पारदर्शक असणे, जे लोक त्यांच्या उत्पादनांचा वापर करतात त्यांना निर्णय घेण्यासाठी योग्यरित्या माहिती दिली जाईल हे सुनिश्चित करणे महत्वाचे आहे असे मला वाटते अद्ययावत बद्दल. यामध्ये अद्ययावत मध्ये सुरक्षा-संबंधित बदल, समस्या जाणून घेण्यासाठी सीव्हीई उघडणे आणि आपल्या ग्राहकांना संभाव्यत: सूचित करणे अशी शीर्ष माहिती समाविष्ट आहे. मला वाटते की हे उत्पादन सीव्हीई बद्दल आहे की नाही हे समजणे विशेषतः वाजवी आहे, सॉफ्टवेअरमध्ये असुरक्षांबद्दल माहिती प्रदान करते. तसेच, मला त्वरित प्रतिसाद, वाजवी दुरुस्तीच्या वेळा आणि हल्ल्याची माहिती देणार्या व्यक्तीसह मुक्त संप्रेषणामुळे मला धीर दिला आहे.
एफओएसएसए, स्निक आणि व्हाइटसोर्स येथे असुरक्षा संबंधित होती कॉल करून बाह्य पॅकेज व्यवस्थापकास अवलंबन निश्चित करण्यासाठी आणि आपल्याला গ্রেडल्यू आणि पॉडफाईल फायलींमध्ये टच आणि सिस्टम आज्ञा निर्दिष्ट करून आपल्या कोडची अंमलबजावणी आयोजित करण्याची परवानगी देतात.
En लॉन्च सिस्टमच्या कमांडशी संबंधित स्नीक आणि व्हाइटसोर्सला एक असुरक्षितता देखील आढळली डॉकफाइलचे विश्लेषण करणारे संघटना (उदाहरणार्थ, स्केनद्वारे डॉकफिईलद्वारे आपण युटिलिटी एलएस (/ बिन / एलएस) पुनर्स्थित करू शकता, स्कॅनरमुळे आणि व्हाइटसर्सेसमध्ये आपण "इको" च्या स्वरूपात युक्तिवादाद्वारे कोड पुनर्स्थित करू शकता; टॅप / tmp / हॅक केलेली_WWWE स्रोत_pip; = 1.0 '«).
आंचोरमध्ये, स्कोपिओ युटिलिटीच्या वापरामुळे असुरक्षा उद्भवली डॉकर प्रतिमांसह कार्य करण्यासाठी. मॅनिफेस्ट.जेसन फाईलमध्ये '»ओएस»: «$ (टच हॅन्ड_अनचोर) form' चे पॅरामीटर्स जोडण्यासाठी ऑपरेशन कमी केले गेले, जे योग्य एस्केपशिवाय स्कोपिओला कॉल करताना बदलले गेले (केवळ वर्ण«; & <काढून टाकले गेले होते) > ", परंतु" $ () "तयार करा.
त्याच लेखकाने असुरक्षा शोधण्याच्या प्रभावीतेवर अभ्यास केला पॅच नाही सुरक्षा स्कॅनरद्वारे डॉकर कंटेनर आणि चुकीच्या पॉझिटिव्हची पातळी.
लेखक व्यतिरिक्त अशी अनेक साधने युक्तिवाद करतात अवलंबितांचे निराकरण करण्यासाठी थेट पॅकेज व्यवस्थापक वापरा. यामुळे त्यांचे रक्षण करणे विशेषतः कठीण होते. काही अवलंबित्व व्यवस्थापकांकडे कॉन्फिगरेशन फाइल्स असतात ज्या शेल कोडच्या समावेशास परवानगी देतात.
जरी हे सोप्या मार्ग कोणत्याही प्रकारे हाताळले जात असले तरीही, या पॅकेज व्यवस्थापकांना कॉल करणे म्हणजे नक्कीच पैशाची शेलिंग करणे होय. हे, सौम्यपणे सांगायचे म्हणजे, अनुप्रयोगाच्या संरक्षणाची सुविधा नाही.
असुरक्षा असलेल्या 73 प्रतिमांचे चाचणी निकाल ज्ञात, तसेच प्रतिमांमध्ये विशिष्ट अनुप्रयोगांची उपस्थिती निश्चित करण्यासाठीच्या प्रभावीतेचे मूल्यांकन (एनजीन्क्स, टॉमकाट, हॅप्रॉक्सी, गॉनिकॉर्न, रेडिस, रुबी, नोड), सल्लामसलत केली जाऊ शकते केलेल्या प्रकाशनात पुढील लिंकवर