URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117412
[ Назад ]
Исходное сообщение
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено opennews , 21-Май-19 13:12 
Джерри Гамблин (Jerry Gamblin) решил выяснить насколько распространена недавно выявленная проблема (https://www.opennet.ru/opennews/art.shtml?num=50654) в Docker-образах дистрибутива Alpine, связанная с указанием пустого пароля для пользователя root. Анализ тысячи самых популярных контейнеров из каталога Docker Hub показал (https://www.kennasecurity.com/20-of-the-1000-most-popular-do.../), что в 194 (https://gist.github.com/jgamblin/6015a2020c1de3bc3aab19b3615...) из них (19.4%) для root установлен пустой пароль, без блокировки учётной записи ("root:::0:::::" вместо "root:!::0:::::").


Наиболее популярным среди проблемных контейнеров является kylemanna/openvpn (https://hub.docker.com/r/kylemanna/openvpn/), который насчитывает более 10 млн загрузок. Также выделяются  контейнеры
hashicorp/terraform (https://hub.docker.com/r/hashicorp/terraform)
govuk/gemstash-alpine (https://hub.docker.com/r/govuk/gemstash-alpine), mesosphere/aws-cli (https://hub.docker.com/r/govuk/mesosphere/aws-cli),  monsantoco/logstash monsantoco/logstash (https://hub.docker.com/r/),
governmentpaas/s3-resource (https://hub.docker.com/r/governmentpaas/s3-resource),
avhost/docker-matrix-riot (https://hub.docker.com/r/avhost/docker-matrix-riot),
azuresdk/azure-cli-python (https://hub.docker.com/r/azuresdk/azure-cli-python),
ciscocloud/haproxy-consul (https://hub.docker.com/r/ciscocloud/haproxy-consul),
phpmyadmin/phpmyadmin (https://hub.docker.com/r/phpmyadmin/phpmyadmin)
и microsoft/azure-cli (https://hub.docker.com/r/microsoft/azure-cli).

В случае применения в контейнере  пакетов  shadow и linux-pam использование пустого пароля root позволяет (https://alpinelinux.org/posts/Docker-image-vulnerability-CVE...) повысить свои привилегии внутри контейнера при наличии непривилегированного доступа к контейнеру или после эксплуатации уязвимости в непривилегированном сервисе, выполняемом в контейнере. Также можно подключиться к контейнеру с правами root при наличии доступа к инфраструктуре, т.е. возможности подключения через терминал к TTY, указанном в  списке /etc/securetty. Через SSH вход с пустым паролем блокируется.

URL: https://www.kennasecurity.com/20-of-the-1000-most-popular-do.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50716

Содержание
Сообщения в этом обсуждении
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 13:12 
И в чём проблема? В этих docker образах работает монолитный процесс или группа процессов с одинаковыми привилегиями. В чём заключается потенциальная уязвимость?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 21-Май-19 13:15 
отдельный вопрос - зачем в этих образах pam и прочий мусор.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено KonstantinB , 21-Май-19 21:01 
Вот, да. Черт бы с этим пустым паролем - зачем, блин, вообще в контейнере давать хоть какую-либо возможность повышения привилегий?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Fyjybv755 , 22-Май-19 12:36 
> отдельный вопрос - зачем в этих образах pam и прочий мусор.

 
> Почти все эти контейнеры основаны на Alpine и не используют пакеты shadow и linux-pam

 

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 23-Май-19 06:55 
и действительно...

расходимся, ничего интересного. Владельцы azure-cli должны же страдать? (подозреваю, там контейнер не предназначенный для публикации портов, на самом деле)

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено КО , 21-Май-19 13:40 
Главная фича контейнеров, что периодически выясняется, что root, который внутре, легким движением превращается в того, который снаружи.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 13:58 
Ага, а локальный юзер легко повышает себе привелегии до рута.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Анонимный пользователь Интернета , 21-Май-19 15:22 
Давай так: я тебе даю рута в контейнере и сутки времени. Получишь рута снаружи — с меня биткоин. Не получишь — с тебя. Идёт?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Попугай Кеша , 21-Май-19 15:55 
Я так не играю! )
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 21-Май-19 16:04 
давай, только сутки отсчитываются с момента, когда я наткнусь на очередной CVE.
(ну или на меня наткнется, прецеденты в общем-то были)

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Твой ночной кошмар , 21-Май-19 18:03 
Не надо вилять задом, Маня. Сутки начинаются с момента как твой почтовый сервер получает письмо от моего.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Урри , 21-Май-19 18:20 
Вот только не надо идти на попятный, раз сам предложил.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Анонимный пользователь Интернета , 21-Май-19 19:55 
Вот и я говорю: не надо. Но что-то не видать специалистов. Поди придётся биткоин на ЛСД потратить.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено хотел спросить , 22-Май-19 16:39 
ты походу с него не слазишь

ты контейнерами (вообще) будешь пользоваться только сутки?

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 23-Май-19 07:03 
если контейнеры сутки будут пользоваться тобой, это немножко не то же самое, правда ведь?

если ты уже по уши увяз в контейнерах (последняя уязвимость, afair, общая с lxc) - тебе будет немного нескучно даже вовремя узнав о выходе cve, "ждать ебилдов".

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 23-Май-19 07:08 
P.S. lsd не советую - его надо употреблять в спокойно-расслабленном состоянии, а не когда "ждешь ебилдов" - бэдтрип почти гарантирован, тем более начинающим психонавтам.
Переходи на спиды - заодно и ебилд не проспишь.

эх, потрут щас познавательную инфу, нутром чую

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено JL2001 , 21-Май-19 19:07 
> Не надо вилять задом, Маня. Сутки начинаются с момента как твой почтовый
> сервер получает письмо от моего.

новенькое техническое отверстие в контейнере он продаст куда дороже твоего одного биткойна

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Анонимный пользователь Интернета , 21-Май-19 19:52 
Не продаст, так как может только языком молоть.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено KonstantinB , 21-Май-19 21:04 
Не вопрос, можно поднять сервер в тот момент, когда появится CVE. :)
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Sw00p aka Jerom , 21-Май-19 21:47 
так он вам тогда обновленный докер даст))
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 22-Май-19 14:32 
> так он вам тогда обновленный докер даст))

да ладно, пока он ждет ебилдов, мы тут пару битков поднимем

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 13:47 
> В этих docker образах работает монолитный процесс или группа процессов с одинаковыми привилегиями. В чём заключается потенциальная уязвимость?

В том, что эти привилегии — не привилегии рута. Если у тебя по-другому, советую не хвастаться этим, а бежать чинить.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним84701 , 21-Май-19 14:16 
> И в чём проблема?

В отсутствии буквы S  в названии. С самого начала.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено KonstantinB , 21-Май-19 21:07 
Скорее в отсутствии понимания того, как устроен Линукс, у подавляющего большинства клепальщиков образов. Дальше первых страниц мана по Докеру не читали.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Dapredator , 21-Май-19 14:43 
> И в чём проблема?

А вот и ДевОпсы подтянулись.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 13:14 
> "root:::0:::::" вместо "root:!::0:::::"

Человекочитаемые конфиги, говорили они…

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Anonymoustus , 21-Май-19 13:17 
Вот и выросло поколение, не читавшее Реймонда.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено zloykakpes , 21-Май-19 13:22 
Это ты из прошлого треда коммент скопировал?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено EuPhobos , 21-Май-19 13:30 
поколение JSON-а..
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 13:48 
Это JSON-то читаемый?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 14:14 
вполне. я лично знаю только один нечитаемый формат - XML :)
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 15:09 
А не надо глазами читать то, что для этого не предназначено.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Анонимный пользователь Интернета , 21-Май-19 15:21 
Эдак выходит, что XML вообще не нужен. Для чтения глазами не предназначен, а в сравнении с другими не предназначенными бинарными форматами там слишком много шума. Не диво, что им пользуются всё реже и реже.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним84701 , 21-Май-19 15:36 
>>> человекочитаемо
> А не надо глазами читать то, что для этого не предназначено.

Хм. Я в принципе догадывался, что оно предназначалось для чтения тем же самым местом, которым и проектировалось.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено лютый жабист__ , 21-Май-19 16:12 
>я лично знаю только один нечитаемый формат - XML

TCP и PROTOBUF ты видимо не знаешь. Как и про существование форматтеров XML... нашла чем гордиться (ц)

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено GentooBoy , 21-Май-19 17:32 
Это потому что поколение json не знает что такое xpath xslt   и продолжает изобретать велосипеды компенсируя свое невежество громкой глоткой и кучей базвордов
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 22-Май-19 04:54 
Вот да, меня удивляет, что штуками типа JSONPath так мало пользуются. Это ж архиудобно.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 17:40 
Его легче чем JSON читать, если что.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 17:52 
XML - это вполне читаемый формат, пусть и не самый приятный для глаз. А вот для редактирвания и писания с нуля человеком он и правда не очень подходит (хотя есть всякие xml-редактиоры и прочие Haml'ы, решающие и эту проблему)
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 23-Май-19 07:13 
проблема что для редактирования и читания нечеловеками он тоже не очень подходит - поскольку придуман рептилоидами и подброшен дятлам, неспособными заранее оценить, насколько угребищен, прожорлив и ненадежен получится парсер. api единственно-верного libxml2 тоже не айс. В результате пачки уязвимостей раз в месяц, при том что все уже на него забили и специально давно уже никто не ищет.

в результате - очередное феерическое ненужно, от неосиляторов написать собственный парсер примитивнейших конфигов.

json, понятно, ничем особо не лучше, но ломают его все же пореже.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено JL2001 , 21-Май-19 19:14 
> вполне. я лично знаю только один нечитаемый формат - XML :)

у xml есть офигенная штука под названием xsd
это перекрывает все недостатки

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 19:52 
Ну да, после взгляда на xsd понимаешь, что xml - это еще не самое страшное
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено хотел спросить , 22-Май-19 16:42 
XML если адекватно написан читается лучше чем JSON
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Ordu , 21-Май-19 23:32 
> Человекочитаемые конфиги, говорили они…

А это не конфиг, это база данных.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Fyjybv755 , 22-Май-19 12:45 
> Человекочитаемые конфиги, говорили они…

Человек может прочитать != человек должен понять прочитанное.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено gogo , 21-Май-19 13:15 
Не о чем волноваться. Это же докер! Его очень просто переустановить, если что-то пойдет не так. Например, сломают.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 22-Май-19 00:16 
Ты, главное, не забудь это обнаружить раньше, чем у тебя все данные сольют или пошифруют.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено mumu , 21-Май-19 13:49 
А чем пустой пароль хуже заранее предустановленного? Ну будет не пустой, а заранее известный, как это повысит безопасность?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 21-Май-19 14:07 
он всем хуже, поскольку в дефолтно-установленном alpine пустой пароль не позволяет тебе стать рутом - вообще. В отличие от всемизвестного непустого.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 16:15 
Пустой пароль незаблокированного рута хуже, чем пустой пароль заблокированного рута.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 22-Май-19 00:17 
Ещё один нечитатель. Никто и не говорит, что там болжен быть предустановленный пароль. Пароль должен быть пустой, но заблокированный.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 14:16 
А у меня в убунте пустой пароль root. Приходится вводить пароль юзера
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 14:28 
>>19.4% из 1000 самых популярных контейнеров Docker содержат пустой пароль root
>Docker

Расходимся

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Нанобот , 21-Май-19 17:50 
а поистерить?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Ананим422356 , 21-Май-19 16:22 
В докер контейнере и так под рутом весь софт выполняется
Хотя могут быть индивидуумы которые контейнер вместо виртуального сервера используют так и флаг им в руки
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 17:09 
Это у вас контейнер неправильный.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 22-Май-19 00:19 
А ещё есть индивидуумы, которым не лень ни прочитать документацию, ни дописать в Dockerfile
USER foo

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Нанобот , 21-Май-19 17:55 
а в самом образу хоть su есть? а то иначе от пустого пароля мало толк...разве что кто-то на базе образа создаст что-то своё
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено пох , 21-Май-19 21:49 
> а в самом образу хоть su есть?

есть, но с пустым паролем рута он, внезапно, не работает.

Но ты можешь руками доустановить гнутого недоделка, который сделает все как надо.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено borbacuca , 21-Май-19 18:06 
вот ивыросло поколение считающее , что удалённый доступ руту эт норм. Да и линь невоспроизводимый эталон ОС
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 21:37 
В том-то и дело, что удаленного доступа нет. И чтобы его организовать, надо еще и приложить определенные усилия.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Fyjybv755 , 22-Май-19 12:41 
«удалённый доступ руту эт норм»®™ is a registered trademark of Cisco Inc.
Все попытки нелегального использования будут караться по закону.

А сабжевая новость к этому никак не относится. Чтобы получить доступ к руту по пустому паролю, нужно дополнительные пакеты поставить, а для этого рут нужен.

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено хотел спросить , 22-Май-19 16:46 
я так делаю, логин по sshd по паролю запрещен, только по ключу
поцелуйте меня в тапки

а то что вы предлагаете потенциально лечится через rowhammer
так что лучше уж ключ

"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 18:42 
Хм, разве кто-то пускает в прод контейнеры докера сразу? Я думал их настраивают предварительно, ну и во время настройки пароль меняют, не?
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 21-Май-19 19:56 
Экий вы наивный... Среди современного IT-персонала считается правильным слепо брать из реп (неважно что именно - имиджи докера, либы ноды или модули вордпресса) и без изменений пихать в продакшон.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Аноним , 22-Май-19 00:22 
Пароли не меняют, потому что они там просто не нужны. Единственная программулина запускается сразу от нужного пользователя.
"19.4% из 1000 самых популярных контейнеров Docker содержат п..."
Отправлено Онаним , 21-Май-19 19:14 
Заголовок совершенно кхм. 194 из 1000, не?