LINUX.ORG.RU

Уязвимость в образе Docker Alpine Linux

 , , ,


0

1

Официальные образы Docker Alpine Linux, начиная с версии 3.3, содержат пустой пароль суперпользователя. При использовании PAM или другого механизма аутентификации, использующего файл /etc/shadow в качестве источника, система может позволить вход пользователю root с пустым паролем. Обновите версию базового образа или измените файл /etc/shadow вручную.

Уязвимость исправлена в версиях:

  • edge (20190228 snapshot)
  • v3.9.2
  • v3.8.4
  • v3.7.3
  • v3.6.5

>>> CVE-2019-5021

Deleted

Проверено: anonymous_incognito ()
Последнее исправление: cetjs2 (всего исправлений: 2)

Официальные docker образа Alpine linux начиная с версии 3.3 содержат пустой пароль суперпользователя.

Решето💢

Odalist ★★★★★
()

Вы всё ещё не меняете дефолтные пароли? Тогда мы идём к вам!

kirill_rrr ★★★★★
()

Кого-то эта уязвимость реально затрагивает?

Gary ★★★★★
()

Только toor, только харкор! о чём думали, непонятно. Хотя у меня на root пароль root по умолчанию, приходится каждый раз ручками менять на более подходящий toor.

linuxnewbie
()

Разве концепция докера не предполагает минимализм и изоляцию? И соответственно запуск в контейнере только одного приложения. Зачем там какие-то дополнительные пользователи?

ox55ff ★★★★★
()
Ответ на: комментарий от ox55ff

Подразумевает, но так как в безбажный код никто не верит, есть рекомендации не пускать софт от рута даже в контейнере.

SevikL ★★★★★
()
Ответ на: комментарий от ox55ff

Концепция подразумевает. В суровой реальности разработчики упарываются странным и захерачивают в контейнер монолитные куски шмутца по 200 мегабайт кода (да, это печальный пример из жизни).

leave ★★★★★
()

Я конечно не специалист, но я всегда думал, что нормальные люди образы делают сами. Скачать образ от васяна и использовать это как будто скачать себе образ ОС и использовать на рабочем компе, даже не проверив, что там за софт установлен.

Alve ★★★★★
()
Ответ на: комментарий от Alve

Делают обычно на основе базовых образов от тех ментейнеров, кому доверяют. Alpine весьма популярна из-за малого размера образа.

Deleted
()

Официальные образы Docker

Всё ясно расходимся.

anonymous
()

система может позволить вход пользователю

Какой вход, какому пользователю? Вы вообще о чём?

ugoday ★★★★★
()
Ответ на: комментарий от Bad_ptr

Допустим, есть какой-то веб-сервер. И в нём завёся экслоит и вредитель получилл шелл в контейнере. Бывает. Этот шелл работает с правами веб-сервера, который имеет доступ ко всему, что вообще имеет ценного в этом контейнере. Вопрос, при таком счастье, зачем ещё и рут?

P.S. В допущении «побегов из контейнера не бывает».

ugoday ★★★★★
()
Последнее исправление: ugoday (всего исправлений: 1)
Ответ на: комментарий от ugoday

Может заруткитить и висеть фоном майнить или по команде начать ддос адреса или ещё что
а контент вебсервера ему вообще не интересен может быть
короче с т.з. «безопасника» это уязвимость, как ни крути

Bad_ptr ★★★★★
()
Ответ на: комментарий от Bad_ptr

Может заруткитить и висеть фоном майнить

А если он с правами юзера будет майнить биткоины получатся ненастоящие?

ugoday ★★★★★
()
Последнее исправление: ugoday (всего исправлений: 1)
Ответ на: комментарий от SevikL

Могли бы по такому случаю откопать стюардессу. Какая нибудь 640-Кб, однопользовательская однозадачная ОС, полагающаяся в плане дров и планировании ресурсов на ядро домашней системы...

kirill_rrr ★★★★★
()
Ответ на: комментарий от ugoday

Да банально — у тебя запущен контейнер для автотестов твоего приложения, у него подмонтирован том с билд-сервера. Приложение, скажем, для администрирования сервера. Оно использует PAM для аутентификации. И ты такой:

  1. залогинился под рутом в него, а оно может скрипты от имени пользователя запускать в контейнере, а там том с билд-сервера подключен.
  2. добавил в настройки билда на дженкинсе шаг, который посылает пароль из хранилища дженкинса HTTP POST-ом в твой сервак.
  3. ???????
  4. PROFIT

Многоходовочка. Как-по-нотам.

Deleted
()
Ответ на: комментарий от Deleted

Атаки через CI/CD сейчас весьма распространены. Очень многие используют на билд серверах контейнеры. И частенько на одном и том же дженкинсе и билды с тестами гоняют, и на прод деплоят. А там, где деплоят на прод, там и креденшиалы хранят. Вот вам и вектор атаки. А так как билд серваками обычно занимаются по остаточному принципу и это вообще никто не проверяет, то вектор весьма вероятный.

Deleted
()
Ответ на: комментарий от Deleted

у него подмонтирован том с билд-сервера.

o.O

Приложение, скажем, для администрирования сервера.

Ок. У меня есть контейнер, у которого в виде переменных окружения есть эндпойнт и креденшиалы к чему-то внешнему. При чём тут рут?

залогинился под рутом в него

что это значит?

Многоходовочка. Как-по-нотам.

http://www.lorquotes.ru/view-quote.php?id=1081 Вас случайно не Михаил зовут?

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Не-не, всё основано на реальных событиях. В целях конфиденциальности имена некоторых персонажей не могут быть разглашены.

Deleted
()
Ответ на: комментарий от Deleted

Уязвимость была конечно другая, но суть была одна. Jenkins, docker, два ствола два идиота «дево-пса».

Deleted
()
Ответ на: комментарий от ugoday

При чём тут рут?

При том, что у него пустой пароль. Т.е. механизмы аутентификации завязанные на /etc/shadow дают зайти под этим пользователем без пароля. Я говорю про тот случай, когда что-то запущенное в контейнере использует для аутентификации PAM, например.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Долго пытался понять как это пустой пароль является уязвимостью, когда отключается рут "!", ушел гуглить, ответ нашел на опеннете.

Суть выявленной проблемы в том, что для пользователя root был задан по умолчанию пустой пароль без блокировки прямого входа под root.

Было «root:::0:::::», а нужно «root:!::0:::::». Одни нервные расстройства от таких новостей . Иногда хотя бы немного подробностей не мешало упоминать когда это нужно, а не кастрировать до минимума.

anonymous
()
Ответ на: комментарий от linuxnewbie

а тем временем есть параноики у которых toor - логин суперпользователя)

Slackware_user ★★★★★
()
Ответ на: комментарий от ugoday

у меня на работе всё сделано через жопу.

Пусть тот, у кого на работе всё сделано идеально, первым бросит в меня камень.

Deleted
()
Ответ на: комментарий от Deleted

Я камнями кидаться не буду, но прямо скажем, в приведённом примере неправильный пароль это наименьшая из проблем.

ugoday ★★★★★
()

Официальные образы Docker Alpine Linux, начиная с версии 3.3, содержат пустой пароль суперпользователя.

Решето

Deleted
()
Ответ на: комментарий от maxt

Микро — это ж не про размер в мегабайтах, а про функциональность. Так что всё нормально.

ugoday ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.