Docker ကွန်တိန်နာများကိုစကင်ဖတ်သည့်အခါအားနည်းချက်များစွာတွေ့ရှိရသည်

docker-hacked ခံရသည်

မကြာသေးမီကလူသိများဖြစ်လာခဲ့သည် ဖြတ်. ဘလော့ဂ်ပို့စ်တစ်ခု၊ အားနည်းချက်များကိုသိရှိနိုင်ဖို့စမ်းသပ်ကိရိယာများ၏ရလဒ်များ patch ကိုမထားနဲ့လုံခြုံရေးဆိုင်ရာပြidentifyနာများကိုခွဲခြားသတ်မှတ် အထီးကျန် Docker ကွန်တိန်နာပုံရိပ်တွေအတွက်။

အဆိုပါစမ်းသပ်မှု 4 စကင်နာများ 6 ကြောင်းပြသခဲ့သည် လူသိများ Docker ပုံရိပ်တွေ အရေးကြီးအားနည်းချက်ရှိခဲ့ပါတယ် ၎င်းသည် scanner ကိုယ်နှိုက်ကိုတိုက်ခိုက်ရန်နှင့် ၄ င်း၏ code ကို system ပေါ်တွင် run ရန်ခွင့်ပြုသည်။

တိုက်ခိုက်မှုတစ်ခုအတွက် တိုက်ခိုက်သူတစ် ဦး သည်သူ၏ Dockerfile ကိုစတင်စစ်ဆေးရန်လိုအပ်သည် သို့မဟုတ်အထူး format လုပ်သော metadata ပါဝင်သော manifest.json, သို့မဟုတ် podfile နှင့် gradlew ဖိုင်များကိုပုံထဲထည့်ပါ။

WhiteSource, Snyk, Fossa နှင့်ကျောက်ဆူးစနစ်များအတွက် exploit ပုံစံကိုပြင်ဆင်ရန်ကျွန်ုပ်တို့စီမံခန့်ခွဲသည်။

အယ်လ်ပက်ကက် Clair၊ မူလကစိတ်ထဲမှာစိတ်ချရသော အကောင်းဆုံးလုံခြုံရေးပြသခဲ့သည်။

Trivy အထုပ်တွင်ပြproblemsနာမရှိပါ ရလဒ်အနေဖြင့် Docker container scanner များအားသီးခြားပတ်ဝန်းကျင်တွင်အသုံးပြုသင့်သည်သို့မဟုတ်၎င်းတို့၏ပုံရိပ်များကိုသာစစ်ဆေးရန်အသုံးပြုသင့်ကြောင်းကောက်ချက်ချခဲ့သည်။ ထို့အပြင်ထိုကဲ့သို့သော tools များကိုအလိုအလျောက်စဉ်ဆက်မပြတ်ပေါင်းစည်းသောစနစ်များနှင့်ဆက်သွယ်သောအခါသတိထားရန်လိုအပ်သည်။

ဤရွေ့ကားစကင်နာများရှုပ်ထွေးခြင်းနှင့်အမှား - ကျရောက်နေတဲ့အရာလုပ်ပါ။ ၄ င်းတို့သည် docker ကိုကိုင်တွယ်ခြင်း၊ layer များ / ဖိုင်များထုတ်ယူခြင်း၊ package မန်နေဂျာများနှင့်အပြန်အလှန်ဆက်သွယ်ခြင်း၊ သို့မဟုတ်ပုံစံအမျိုးမျိုးကိုခွဲခြမ်းစိတ်ဖြာခြင်းစသည်တို့ဖြစ်သည်။ developer များအတွက်အသုံးပြုမှုကိစ္စရပ်များအားလုံးလိုက်လျောညီထွေဖြစ်အောင်ကြိုးစားနေစဉ်မှာသူတို့ကိုခုခံကာကွယ်ခြင်းသည်အလွန်ခက်ခဲသည်။ ကွဲပြားခြားနားသော tools များမည်သို့ကြိုးစားနှင့်စီမံခန့်ခွဲပုံကိုကြည့်ကြပါစို့:

တာဝန်ရှိသည့်ထုတ်ဖော်မှုရမှတ်သည်ကျွန်ုပ်၏ကိုယ်ပိုင်ထင်မြင်ချက်ကိုထင်ဟပ်သည်။ ဆော့ဗ်ဝဲရောင်းချသူများသည်၎င်းတို့တင်ပြသောလုံခြုံရေးပြissuesနာများကိုလက်ခံရန်၊ အားနည်းချက်များနှင့် ပတ်သက်၍ ပွင့်လင်းမြင်သာမှုရှိရန်၊ သူတို့၏ထုတ်ကုန်များကိုအသုံးပြုသူများကိုသေချာစေရန်အရေးကြီးသည်ဟုကျွန်ုပ်ထင်သည်။ update ကိုနှင့်ပတ်သက်။ ဆုံးဖြတ်ချက်များချမှတ်ရန်သင့်လျော်စွာအသိပေးနေကြသည်။ ၎င်းတွင် update တွင်လုံခြုံရေးနှင့်သက်ဆိုင်သောအပြောင်းအလဲများရှိခြင်း၊ CVE ကိုဖွင့်ခြင်းနှင့်ပြaboutနာကို ဆက်သွယ်၍ သင်၏ဖောက်သည်များအားအကြောင်းကြားရန်ထိပ်တန်းသတင်းအချက်အလက်များပါဝင်သည်။ ဆော့ဖ်ဝဲတွင်အားနည်းချက်များနှင့်ပတ်သက်သောသတင်းအချက်အလက်များကိုထုတ်ကုန်သည် CVE အကြောင်းဆိုပါက၎င်းသည်ယူဆရန်အထူးသင့်တော်သည်။ ထို့အပြင်ကျွန်ုပ်သည်မြန်ဆန်သောတုန့်ပြန်မှု၊ ကျိုးကြောင်းဆီလျော်သောဆုံးမပဲ့ပြင်မှုနှင့်တိုက်ခိုက်မှုကိုသတင်းပို့သူနှင့်ပွင့်ပွင့်လင်းလင်းပြောဆိုဆက်သွယ်မှုတို့ကကျွန်ုပ်ကိုစိတ်ချစေသည်။

FOSSA, Snyk နှင့် WhiteSource တို့တွင်အားနည်းချက်နှင့်ဆက်စပ်နေသည် ခေါ်ဆိုမှုဖြင့် ပြင်ပအထုပ်မန်နေဂျာရန် မှီခိုမှုများကိုဆုံးဖြတ်ရန်နှင့် gradlew နှင့် Podfile ဖိုင်များရှိထိတွေ့မှုနှင့် system command များကိုသတ်မှတ်ခြင်းဖြင့်သင့်ကုဒ်၏လုပ်ဆောင်မှုကိုစီစဉ်ရန်ခွင့်ပြုသည်။

En Snyk နှင့် WhiteSource တို့ကပစ်လွှတ်စနစ် command များနှင့်သက်ဆိုင်သည့်အားနည်းချက်ကိုလည်းတွေ့ရှိခဲ့သည် Dockerfile ကိုခွဲခြမ်းစိတ်ဖြာသောအဖွဲ့အစည်း (ဥပမာ၊ Snyk တွင် Dockefile မှတစ်ဆင့်သင်စကင်နာကြောင့်ဖြစ်ပေါ်လာသော utility ls (/ bin / ls) ကိုအစားထိုးနိုင်ပြီး WhiteSurce တွင် "echo" ပုံစံဖြင့်အငြင်းပွားမှုများအားဖြင့်ကုဒ်ကိုအစားထိုးနိုင်သည်။ ; /tmp/hacked_whitesource_pip;=1.0 '«) ကိုနှိပ်ပါ။

Anchore တွင်အားနည်းချက်မှာ skopeo utility ကိုအသုံးပြုခြင်းကြောင့်ဖြစ်သည် docker ပုံရိပ်တွေနဲ့အလုပ်လုပ်ဖို့။ skopeo အားကောင်းမွန်သောလွတ်မြောက်ခြင်းမရှိဘဲခေါ်ဆိုသောအခါအစားထိုးခြင်းခံရသည့် manifest.json ဖိုင်တွင် 'os »: « $ (touch hacked_anchore) »»ပုံစံ၏ parameters များကိုထပ်မံထည့်သွင်းခြင်းအတွက်လုပ်ဆောင်မှုကိုလျှော့ချခဲ့သည်။ > "ဒါပေမယ့်ဆောက်လုပ်ရေး" $ () ") ။

အလားတူစာရေးသူအားနည်းချက်ထောက်လှမ်း၏ထိရောက်မှုကိုအပေါ်လေ့လာမှုတစ်ခုပြုလုပ်ခဲ့သည် မပြင်ဆင်ရသေးပါ လုံခြုံရေးစကင်နာများမှတဆင့် docker ကွန်တိန်နာနှင့်မှားယွင်းသောလက္ခဏာများ၏အဆင့်။

စာရေးသူအပြင် ဤအ tools တွေကိုအများအပြားကြောင်းစောဒကတက်သည် တိုက်ရိုက်မှီခိုဖြေရှင်းရန်အထုပ်မန်နေဂျာကိုအသုံးပြုပါ။ ဤသည်ကသူတို့ကိုခုခံကာကွယ်ဖို့အထူးသဖြင့်ခက်ခဲစေသည်။ အချို့မှီခိုမှုမန်နေဂျာများအနေဖြင့် shell ကုဒ်ပါ ၀ င်စေနိုင်မည့် configuration file များရှိသည်။ 

ဤရိုးရှင်းသောနည်းများကိုတစ်နည်းနည်းဖြင့်ကိုင်တွယ်လျှင်ပင်၊ ဤအထုပ်မန်နေဂျာများခေါ်ခြင်းသည်မလွဲမသွေပိုက်ဆံဖြုတ်ပစ်မည်ဟုဆိုလိုသည်။ ဤအရာသည်နူးညံ့သိမ်မွေ့စွာပြောခြင်းအားဖြင့်လျှောက်လွှာကိုကာကွယ်ခြင်းကိုအထောက်အကူမပြုပါ။

အားနည်းချက်များပါဝင်သော 73 ပုံရိပ်များ၏စမ်းသပ်မှုရလဒ် ပုံရိပ်များ (nginx, tomcat, haproxy, gunicorn, redis, ပတ္တမြား, node) တွင်ပုံမှန် application များ၏တည်ရှိမှုကိုဆုံးဖြတ်ရန်ထိရောက်မှု၏အကဲဖြတ်မှုအဖြစ်လူသိများသည်။ တိုင်ပင်နိုင်ပါသည် ဖန်ဆင်းထုတ်ဝေအတွင်း အောက်ပါ link ကိုမှာ။


ဆောင်းပါး၏ပါ ၀ င်မှုသည်ကျွန်ုပ်တို့၏အခြေခံမူများကိုလိုက်နာသည် အယ်ဒီတာအဖွဲ့ကျင့်ဝတ်။ အမှားတစ်ခုကိုသတင်းပို့ရန်ကလစ်နှိပ်ပါ ဒီမှာ.

မှတ်ချက်ပေးရန်ပထမဦးဆုံးဖြစ်

သင်၏ထင်မြင်ချက်ကိုချန်ထားပါ

သင့်အီးမေးလ်လိပ်စာပုံနှိပ်ထုတ်ဝေမည်မဟုတ်ပါ။

*

*

  1. အချက်အလက်အတွက်တာဝန်ရှိသည် - Miguel ÁngelGatón
  2. အချက်အလက်များ၏ရည်ရွယ်ချက်: ထိန်းချုပ်ခြင်း SPAM, မှတ်ချက်စီမံခန့်ခွဲမှု။
  3. တရားဝင်: သင်၏ခွင့်ပြုချက်
  4. အချက်အလက်များ၏ဆက်သွယ်မှု - ဒေတာများကိုဥပဒေအရတာ ၀ န်ယူမှုမှ လွဲ၍ တတိယပါတီများသို့ဆက်သွယ်မည်မဟုတ်ပါ။
  5. ဒေတာသိမ်းဆည်းခြင်း: Occentus ကွန်ယက်များ (အီးယူ) မှလက်ခံသည့်ဒေတာဘေ့စ
  6. အခွင့်အရေး - မည်သည့်အချိန်တွင်မဆိုသင်၏အချက်အလက်များကိုကန့်သတ်၊