Baru dikenali melalui catatan blog, hasil alat ujian untuk mengenal pasti kelemahan tiada patch dan mengenal pasti masalah keselamatan dalam gambar bekas Docker terpencil.
Ujian menunjukkan bahawa 4 daripada 6 pengimbas gambar Docker yang diketahui mempunyai kelemahan kritikal yang dibenarkan menyerang pengimbas itu sendiri dan menjalankan kodnya pada sistem, dalam beberapa kes (misalnya menggunakan Snyk) dengan hak root.
Untuk serangan, penyerang hanya perlu mula memeriksa Dockerfile-nya atau manifest.json, yang merangkumi metadata yang diformat khas, atau masukkan fail Podfile dan gradlew ke dalam gambar.
Kami berjaya menyediakan prototaip eksploitasi untuk sistem WhiteSource, Snyk, Fossa dan anchore.
El paquete Clair pada asalnya ditulis dengan keselamatan, menunjukkan keselamatan terbaik.
Tidak ada masalah yang dikenal pasti dalam pakej Trivy dan sebagai hasilnya, disimpulkan bahawa pengimbas kontena Docker harus dijalankan dalam lingkungan terpencil atau hanya digunakan untuk mengesahkan gambar mereka sendiri, dan juga berhati-hati ketika menyambungkan alat tersebut ke sistem integrasi berterusan automatik.
Pengimbas ini melakukan perkara yang rumit dan ralat. Mereka berurusan dengan pekerja pelabuhan, mengambil lapisan / fail, berinteraksi dengan pengurus pakej, atau menganalisis format yang berbeza. Mempertahankan mereka, sementara berusaha menampung semua kes penggunaan untuk pemaju, sangat sukar. Mari lihat bagaimana pelbagai alat mencuba dan berjaya melakukannya:
Skor pendedahan yang bertanggungjawab mencerminkan pendapat peribadi saya: Saya rasa penting bagi vendor perisian untuk responsif terhadap masalah keselamatan yang dilaporkan kepada mereka, jujur dan telus mengenai kelemahan, untuk memastikan bahawa orang yang menggunakan produk mereka dimaklumkan dengan betul untuk membuat keputusan mengenai kemas kini. Ini termasuk maklumat yang paling penting bahawa kemas kini mempunyai perubahan yang berkaitan dengan keselamatan, membuka CVE untuk mengesan dan berkomunikasi mengenai masalah tersebut, dan berpotensi memberi tahu pelanggan anda. Saya rasa ini sangat wajar untuk diandaikan jika produk berkenaan dengan CVE, memberikan maklumat mengenai kelemahan dalam perisian. Saya juga yakin dengan tindak balas pantas, masa pembetulan yang wajar, dan komunikasi terbuka dengan orang yang melaporkan serangan itu.
Di FOSSA, Snyk dan WhiteSource, kerentanan berkaitan dengan memanggil kepada pengurus pakej luaran untuk menentukan kebergantungan dan membolehkan anda mengatur pelaksanaan kod anda dengan menentukan sentuhan dan perintah sistem dalam fail gradlew dan Podfile.
En Snyk dan WhiteSource juga menemui kelemahan, yang berkaitan dengan arahan sistem pelancaran organisasi yang menguraikan Dockerfile (sebagai contoh, di Snyk melalui Dockefile anda boleh mengganti utiliti ls (/ bin / ls), yang disebabkan oleh pengimbas dan di WhiteSurce anda boleh mengganti kod melalui argumen dalam bentuk "echo" ; ketuk /tmp/hacked_whitesource_pip;=1.0 '«).
Di Anchore, kerentanan disebabkan oleh penggunaan utiliti skopeo untuk bekerja dengan gambar dok. Operasi dikurangkan untuk menambahkan parameter bentuk '' os »:« $ (touch hacked_anchore) »'ke file manifest.json, yang diganti ketika memanggil skopeo tanpa pelarian yang betul (hanya watak«; & <yang dikeluarkan > ", Tetapi konstruk" $ () ").
Penulis yang sama melakukan kajian mengenai keberkesanan pengesanan kerentanan tidak ditampal melalui pengimbas keselamatan bekas kontena dan tahap positif palsu.
Selain pengarang berpendapat bahawa beberapa alat ini secara langsung menggunakan pengurus pakej untuk menyelesaikan kebergantungan. Ini menjadikan mereka sukar dibela. Beberapa pengurus pergantungan mempunyai fail konfigurasi yang memungkinkan kemasukan kod shell.
Walaupun cara mudah ini ditangani, memanggil pengurus pakej ini pasti bermaksud mengeluarkan wang. Ini, secara sederhana, tidak memudahkan pembelaan aplikasi.
Keputusan Ujian untuk 73 Gambar yang Mengandungi Kerentanan diketahui, serta penilaian keberkesanan untuk menentukan kehadiran aplikasi khas dalam gambar (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), boleh dirujuk dalam penerbitan yang dibuat Dalam pautan berikut.