LINUX.ORG.RU

Уязвимость в образе Docker Alpine Linux

 , , ,


0

1

Официальные образы Docker Alpine Linux, начиная с версии 3.3, содержат пустой пароль суперпользователя. При использовании PAM или другого механизма аутентификации, использующего файл /etc/shadow в качестве источника, система может позволить вход пользователю root с пустым паролем. Обновите версию базового образа или измените файл /etc/shadow вручную.

Уязвимость исправлена в версиях:

  • edge (20190228 snapshot)
  • v3.9.2
  • v3.8.4
  • v3.7.3
  • v3.6.5

>>> CVE-2019-5021

Только toor, только харкор! о чём думали, непонятно. Хотя у меня на root пароль root по умолчанию, приходится каждый раз ручками менять на более подходящий toor.

linuxnewbie ()

Разве концепция докера не предполагает минимализм и изоляцию? И соответственно запуск в контейнере только одного приложения. Зачем там какие-то дополнительные пользователи?

ox55ff ★★ ()
Ответ на: комментарий от ox55ff

Концепция подразумевает. В суровой реальности разработчики упарываются странным и захерачивают в контейнер монолитные куски шмутца по 200 мегабайт кода (да, это печальный пример из жизни).

leave ★★★★★ ()

Я конечно не специалист, но я всегда думал, что нормальные люди образы делают сами. Скачать образ от васяна и использовать это как будто скачать себе образ ОС и использовать на рабочем компе, даже не проверив, что там за софт установлен.

Alve ★★★★★ ()
Ответ на: комментарий от Bad_ptr

Допустим, есть какой-то веб-сервер. И в нём завёся экслоит и вредитель получилл шелл в контейнере. Бывает. Этот шелл работает с правами веб-сервера, который имеет доступ ко всему, что вообще имеет ценного в этом контейнере. Вопрос, при таком счастье, зачем ещё и рут?

P.S. В допущении «побегов из контейнера не бывает».

ugoday ★★★★★ ()
Последнее исправление: ugoday (всего исправлений: 1)
Ответ на: комментарий от ugoday

Может заруткитить и висеть фоном майнить или по команде начать ддос адреса или ещё что
а контент вебсервера ему вообще не интересен может быть
короче с т.з. «безопасника» это уязвимость, как ни крути

Bad_ptr ★★★ ()
Ответ на: комментарий от SevikL

Могли бы по такому случаю откопать стюардессу. Какая нибудь 640-Кб, однопользовательская однозадачная ОС, полагающаяся в плане дров и планировании ресурсов на ядро домашней системы...

kirill_rrr ★★★★★ ()
Ответ на: комментарий от ugoday

Да банально — у тебя запущен контейнер для автотестов твоего приложения, у него подмонтирован том с билд-сервера. Приложение, скажем, для администрирования сервера. Оно использует PAM для аутентификации. И ты такой:

  1. залогинился под рутом в него, а оно может скрипты от имени пользователя запускать в контейнере, а там том с билд-сервера подключен.
  2. добавил в настройки билда на дженкинсе шаг, который посылает пароль из хранилища дженкинса HTTP POST-ом в твой сервак.
  3. ???????
  4. PROFIT

Многоходовочка. Как-по-нотам.

java_util_Random ★★ ()
Ответ на: комментарий от java_util_Random

Атаки через CI/CD сейчас весьма распространены. Очень многие используют на билд серверах контейнеры. И частенько на одном и том же дженкинсе и билды с тестами гоняют, и на прод деплоят. А там, где деплоят на прод, там и креденшиалы хранят. Вот вам и вектор атаки. А так как билд серваками обычно занимаются по остаточному принципу и это вообще никто не проверяет, то вектор весьма вероятный.

java_util_Random ★★ ()
Ответ на: комментарий от java_util_Random

у него подмонтирован том с билд-сервера.

o.O

Приложение, скажем, для администрирования сервера.

Ок. У меня есть контейнер, у которого в виде переменных окружения есть эндпойнт и креденшиалы к чему-то внешнему. При чём тут рут?

залогинился под рутом в него

что это значит?

Многоходовочка. Как-по-нотам.

http://www.lorquotes.ru/view-quote.php?id=1081 Вас случайно не Михаил зовут?

ugoday ★★★★★ ()
Ответ на: комментарий от ugoday

При чём тут рут?

При том, что у него пустой пароль. Т.е. механизмы аутентификации завязанные на /etc/shadow дают зайти под этим пользователем без пароля. Я говорю про тот случай, когда что-то запущенное в контейнере использует для аутентификации PAM, например.

java_util_Random ★★ ()
Последнее исправление: java_util_Random (всего исправлений: 1)

Долго пытался понять как это пустой пароль является уязвимостью, когда отключается рут "!", ушел гуглить, ответ нашел на опеннете.

Суть выявленной проблемы в том, что для пользователя root был задан по умолчанию пустой пароль без блокировки прямого входа под root.

Было «root:::0:::::», а нужно «root:!::0:::::». Одни нервные расстройства от таких новостей . Иногда хотя бы немного подробностей не мешало упоминать когда это нужно, а не кастрировать до минимума.

anonymous ()