Docker konteynerlarini skanerlashda bir nechta zaifliklar topildi

docker tomonidan buzilgan

Yaqinda ma'lum bo'ldi orqali blog posti, zaifliklarni aniqlash uchun vositalarni sinash natijalari yamoq yo'q va xavfsizlik muammolarini aniqlang ajratilgan Docker konteyner tasvirlarida.

Sinov shuni ko'rsatdiki, 4 ta skanerdan 6 tasi ma'lum Docker tasvirlari juda muhim zaifliklarga ega edi bu ba'zi hollarda (masalan, Snyk yordamida) root imtiyozlari bilan brauzerning o'ziga hujum qilish va tizimdagi kodini ishlatishga imkon berdi.

Hujum uchun, tajovuzkor faqat Dockerfile-ni tekshirishni boshlashi kerak yoki manifest.json, unga maxsus formatlangan metadata kiradi, yoki podfile va gradlew fayllarini rasm ichiga joylashtiring.

Biz WhiteSource, Snyk, Fossa va langar tizimlari uchun ekspluatatsiya prototiplarini tayyorlashga muvaffaq bo'lamiz.

Paket Kler, dastlab xavfsizlik bilan yozilgan, eng yaxshi xavfsizlikni namoyish etdi.

Trivy paketida hech qanday muammo aniqlanmagan va natijada, Docker konteyner skanerlarini ajratilgan muhitda ishlatish yoki faqat o'zlarining rasmlarini tekshirish uchun ishlatish kerak, degan xulosaga kelishdi, shuningdek, bunday vositalarni avtomatlashtirilgan uzluksiz integratsiya tizimlariga ulashda ehtiyot bo'ling.

Ushbu brauzerlar murakkab va xatolarga yo'l qo'yadigan ishlarni bajaradilar. Ular docker bilan shug'ullanishadi, qatlamlarni / fayllarni chiqarib olishadi, paket menejerlari bilan o'zaro aloqada bo'lishadi yoki turli formatlarni tahlil qilishadi. Ishlab chiquvchilar uchun barcha foydalanish holatlarini qondirishga urinayotganda ularni himoya qilish juda qiyin. Keling, turli xil vositalar buni qanday amalga oshirayotganini va qanday qilib boshqarishini ko'rib chiqaylik:

Ma'lumotni oshkor qilish bo'yicha mas'uliyat mening shaxsiy fikrimni aks ettiradi: menimcha, dasturiy ta'minot ishlab chiqaruvchilari o'zlariga bildirilgan xavfsizlik masalalarini qabul qilishlari, zaifliklar to'g'risida halol va ochiq bo'lishlari, mahsulotlaridan foydalanadigan odamlar qarorlar qabul qilishlari uchun kerakli ma'lumotlarga ega bo'lishlari kerak. yangilanish haqida. Bunga yangilanishning xavfsizlik bilan bog'liq o'zgarishlarga ega bo'lganligi, muammoni kuzatish va aloqa qilish uchun CVE-ni ochish va mijozlaringizni potentsial xabardor qilish to'g'risida eng yaxshi ma'lumotlar kiradi. Menimcha, bu mahsulot dasturiy ta'minotdagi zaifliklar haqida ma'lumot beruvchi CVE haqida bo'lsa, buni taxmin qilish juda o'rinli. Shuningdek, tezkor javob, oqilona tuzatish vaqtlari va hujum haqida xabar bergan odam bilan ochiq muloqot meni tinchlantiradi.

FOSSA, Snyk va WhiteSource-da zaiflik bog'liq edi qo'ng'iroq bilan tashqi paket menejeriga bog'liqliklarni aniqlash va gradlew va Podfile fayllaridagi sensorli va tizim buyruqlarini ko'rsatib, kodingizni bajarilishini tashkil etishga imkon beradi.

En Snyk va WhiteSource, shuningdek, ishga tushirish tizimining buyruqlari bilan bog'liq bo'lgan zaiflikni topdilar Dockerfile-ni tahlil qilgan tashkilot (masalan, Snyk-da Dockefile orqali brauzer sabab bo'lgan ls (/ bin / ls) yordam dasturini almashtirishingiz mumkin va WhiteSurce-da kodni "echo" shaklida argumentlar orqali o'zgartirishingiz mumkin; tmp / hacked_whitesource_pip; = 1.0 '«).

Anchore-da, bu zaiflik skopeo yordam dasturidan foydalanish natijasida yuzaga keldi docker tasvirlari bilan ishlash. Operatsiya manifest.json fayliga '»os»: «$ (touch hacked_anchore)»' shaklidagi parametrlarni qo'shishga qisqartirildi, ular skopeoga qo'ng'iroq paytida mos keladigan qochishsiz almashtiriladi (faqat «; & <» belgilari olib tashlangan > ", Lekin" $ () ") tuzilishi.

Xuddi shu muallif zaifliklarni aniqlash samaradorligi bo'yicha tadqiqot o'tkazdi yamalgan emas xavfsizlik skanerlari orqali docker konteynerlari va noto'g'ri ijobiy darajalar.

Muallifdan tashqari ushbu vositalardan bir nechtasi borligini ta'kidlaydi bog'liqliklarni hal qilish uchun to'g'ridan-to'g'ri paket menejerlaridan foydalaning. Bu ularni himoya qilishni ayniqsa qiyinlashtiradi. Ba'zi qaramlik menejerlari qobiq kodini kiritishga imkon beruvchi konfiguratsiya fayllariga ega. 

Ushbu oddiy usullar qandaydir tarzda hal qilingan taqdirda ham, ushbu paket menejerlariga qo'ng'iroq qilish muqarrar ravishda pulni to'kib tashlashni anglatadi. Bu, yumshoq qilib aytganda, dastur himoyasini osonlashtirmaydi.

Zaifliklarni o'z ichiga olgan 73 ta rasmning sinov natijalari rasmlarda (nginx, tomcat, haproxy, gunicorn, redis, ruby, tugun) odatdagi dasturlarning mavjudligini aniqlash samaradorligini baholash, shuningdek bilan maslahatlashish mumkin nashr etilgan nashr ichida Quyidagi havolada.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.