The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.05.2015 09:47  Треть образов контейнеров в Docker Hub содержит опасные уязвимости

В результате изучения актуальности содержимого начинки образов контейнеров, размещённых в репозитории Docker Hub, были выявлены серьёзные проблемы с безопасностью. Более 30% добавленных в 2015 году образов контейнеров в официальном репозитории содержат компоненты, имеющие опасные уязвимости, такие как ShellShock в bash и Heartbleed в OpenSSL. При том, что официальные репозитории формируются при участии первичных проектов, таких как Ubuntu, Debian, CentOS, и используются в качестве основы для построения собственных образов (library/ubuntu, library/redis и т.п.).

Для официальных образов, помеченных как самые свежие, опасные уязвимости выявлены в 23%, а при выборке всех имеющихся в репозитории контейнеров - 36%. Если рассматривать уязвимости среднего уровня опасности, такие, как Poodle в OpenSSL, то они затрагивают 74% из контейнеров 2015 года, 47% из самых новых версий контейнеров и 64% из всех контейнеров.

Распределение уязвимостей в официальном репозитории:

При изучении общего репозитория, в котором размещаются образы, подготовленные сторонними пользователями, то число опасных уязвимостей в контейнерах 2015 года составляет 31%, что на 9 пунктов меньше показателей официального репозитория. При рассмотрении самых свежих и всех образов в неофициальном репозитории, число серьёзно уязвимых оценивается в 37% и 40% соответственно, что на 14 и 4 пункта больше официального репозитория.

Распределение уязвимостей в общем репозитории:

В качестве рекомендаций по устранению сложившейся ситуации, проекту Docker рекомендуется ввести в обиход проверку состава образов на наличие устаревших версий программ, содержащих известные уязвимости. Например, добавленный в апреле этого года официальный образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование уязвимостей в образах с информированием о результатах пользователей и разработчиков, и помещением в карантин образов, в которых присутствуют особо опасные уязвимости. Для образов, построенных с использованием эталонных окружений, рекомендуется предусмотреть автоматическое инициирование пересборки в случае исправления опасных уязвимостей в связанных с ними компонентах.

  1. Главная ссылка к новости (http://www.banyanops.com/blog/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:44, 28/05/2015 [ответить] [смотреть все]
  • –1 +/
    Пару недель назад я нешел актуальную проблему в openssl которая существует на эт... весь текст скрыт [показать]
     
     
  • 2.9, Анонимец, 11:27, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Возьми с полки пирожок. Как это относится к теме новости?
     
     
  • 3.10, arisu, 11:29, 28/05/2015 [^] [ответить] [смотреть все]  
  • +11 +/
    > Возьми с полки пирожок. Как это относится к теме новости?

    attention whore.

     
     
  • 4.18, Аноним, 12:11, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    > attention whore.

    attention whore.

     
  • 3.17, Аноним, 12:10, 28/05/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Можете для себя считать что никак, так что успокойтесь В целом же, я не виноват... весь текст скрыт [показать]
     
  • 2.39, OberonForDog, 16:24, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Молодец А я openssl на Oberon переписываю, будет работать сразу и без багов, по... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.40, dr Equivalent, 19:36, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Поцчему не на Go или Джаваскрипте?
     
     
  • 4.46, Аноним, 21:05, 28/05/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    > Поцчему не на Go или Джаваскрипте?

    Слишком энтерпрайзно.

     
     
  • 5.50, dr Equivalent, 21:43, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Господь с вами. Энтерпрайзно - это дзява. А го - это хипстота.
     
     
  • 6.51, arisu, 21:44, 28/05/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    > А го - это хипстота.

    которая очень хочет стать «ынтырпрайзом».

     
  • 3.47, Аноним, 21:15, 28/05/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Спасибо за предложение, но я предпочитаю писать на Си Мой код вроде бы не более... весь текст скрыт [показать]
     
     
  • 4.58, Аноним, 08:33, 29/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Да там больше проблема в том что протокол навернут до ж ы, в нем до я опций ... весь текст скрыт [показать]
     
  • 4.60, Аноним, 11:33, 29/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Спорим авторы OpenSSL думали так же
     
     
  • 5.63, Аноним, 13:02, 30/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Не думал такой бред увидеть на техническом ресурсе Ладно, спорим Доказывай ... весь текст скрыт [показать]
     
  • 3.53, Аноним, 22:42, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Глибц не забудь переписать. Ну и кернель как бы надо.
     
     
  • 4.54, arisu, 22:47, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    не надо, native oberon давно есть ... весь текст скрыт [показать]
     
     
  • 5.57, Аноним, 08:31, 29/05/2015 [^] [ответить] [смотреть все]  
  • +/
    А все-равно не поможет в случае openssl https dhe512 zmap io - видите страни... весь текст скрыт [показать]
     
  • 3.56, Аноним, 08:26, 29/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Молодец Потом еще останется найти кому это будет надо А оно с каким софтом смо... весь текст скрыт [показать]
     
  • 2.41, А.а., 19:48, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не выйдет, швайн.
     
     
  • 3.48, Аноним, 21:31, 28/05/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Мистер швайн, вообщем я разобрался до конца в причинах происходящего и констатир... весь текст скрыт [показать]
     
     
  • 4.49, Аноним, 21:36, 28/05/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Ничего не продать Жаль Так и будешь трещать в лужу или напишешь уже багрепорт... весь текст скрыт [показать]
     
     
  • 5.55, Аноним, 23:20, 28/05/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    я не собирался ниче продавать это тебя не касается... весь текст скрыт [показать]
     
  • 1.3, Crazy Alex, 11:03, 28/05/2015 [ответить] [смотреть все]  
  • +3 +/
    Ну вот их и догнало. Ну чего - навернут пару уровней сверху, сделают пересборки, что, разумеется, потребует учёта зависимостей - и на новый виток.
     
     
  • 2.7, Аноним, 11:25, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Что-то затихли про несомненные преимущества devops.
     
     
  • 3.11, Аноним, 11:33, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    наверное чтобы какой-нибудь аноним заимплементил на православном Си замену докер... весь текст скрыт [показать]
     
     
  • 4.13, arisu, 11:44, 28/05/2015 [^] [ответить] [смотреть все]  
  • +6 +/
    к счастью, те анонимы, которые знают си на достаточном уровне, не настолько упоротые, а те, кто упоротые, не знают си на достаточном уровне.
     
     
  • 5.28, Аноним, 14:28, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    ты вспомни cdebootstrap и debootstrap  ))
     
  • 3.14, Михрютка, 11:44, 28/05/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    ничто так не закаляет характер как curl 124 sudo bash... весь текст скрыт [показать]
     
  • 1.12, Михрютка, 11:44, 28/05/2015 [ответить] [смотреть все]  
  • +/

    > содержащих известные уязвимости. Например, добавленный в апреле этого года официальный
    > образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена
    > более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование

    а что они хотят, пятерка уже который год на eus. Хьюз в прошлом году предупреждал http://lists.centos.org/pipermail/centos/2014-November/148008.html

    тут не образ собирать надо, а писать план миграции на шестерку. если конечно, на сопровождение не насрать.

    но шеллшок они вроде пропатчили емнип.

     
  • 1.15, MPEG LA, 11:46, 28/05/2015 [ответить] [смотреть все]  
  • +4 +/
    вот поэтому простые, предсказуемые, обновляемые и управляемые контейнеры LXC - наше все.
     
     
  • 2.25, pkdr, 13:11, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    OpenVZ тоже неплохи.
     
     
  • 3.64, angra, 16:03, 30/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Ну если уж на то пошло, то с точки зрения безопасности есть только OpenVZ При с... весь текст скрыт [показать]
     
  • 1.16, Аноним, 12:04, 28/05/2015 [ответить] [смотреть все]  
  • +/
    А обновлять сами контейнеры контейнера можно Сегодня он без уязвимостей, а зав... весь текст скрыт [показать]
     
     
  • 2.27, Аноним, 13:18, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Можно делать data-only контейнеры и линковать к рабочим, тогда рабочие можно обн... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, th3m3, 12:15, 28/05/2015 [ответить] [смотреть все]  
  • +2 +/
    Я всегда говорил, что эти ваши новомодные контейнеры - зло.
     
     
  • 2.20, Аноним, 12:21, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Не зло, просто иногда не нужно надеяться на других, а делать образы самостоятель... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 13:14, 28/05/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Взгляните на мой коментарии первый комент в этой теме и соотносите с тем что в... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 14:35, 28/05/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Оскабливания других, вот это признак низкого уровня интеллекта, поскольку люди н... весь текст скрыт [показать]
     
     
  • 5.33, Аноним, 15:18, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Оскарбливания Может соскабливания - Вы так говорите как будто это доказано ... весь текст скрыт [показать]
     
     
  • 6.34, Аноним, 15:23, 28/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Я повторюсь Противоречии нет, верно - ... весь текст скрыт [показать]
     
  • 1.23, YetAnotherOnanym, 12:30, 28/05/2015 [ответить] [смотреть все]  
  • +3 +/
    Зато когда напоминаешь о желательности разбираться в деле, которым занимаешься, набегают убунтята с рассказом, что у них всё работает с пол-пинка и в два клика, и что курение мануалов и ковыряние потрохов - удел вымирающих красноглазиков.
     
  • 1.29, Аноним, 14:31, 28/05/2015 [ответить] [смотреть все]  
  • +/
    читаю комменты и просто ржу, люди незнающие докера тупо не врубаются в чем дело,... весь текст скрыт [показать]
     
     
  • 2.45, Нанобот, 20:48, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    This is linux, bro.
     
     
  • 3.59, Аноним, 08:51, 29/05/2015 [^] [ответить] [смотреть все]  
  • +/
    Да линукс то тут совсем не причем, просто уровень аналитеков удручает.
     
  • 1.31, Аноним, 14:59, 28/05/2015 [ответить] [смотреть все]  
  • –2 +/
    то, что в скачанном с docker hub контейнере можно набрать команду типа apt upgr... весь текст скрыт [показать]
     
     
  • 2.32, Аноним, 15:04, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Об этом тоже нужно писать даже на Docker Hub ... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, Аноним, 15:43, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    apt-get update apt-get upgrade Вот только лучше сбилдить свежачок из докерфай... весь текст скрыт [показать] [показать ветку]
     
  • 2.65, angra, 16:07, 30/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Лично я всегда образы контейнеров собираю сам Потому что мне, в отличии от неко... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Аноним, 15:39, 28/05/2015 [ответить] [смотреть все]  
  • –1 +/
    Вывод - доскер ОПАСЕНЪЪ А если честно, то когда-то хейтеры жутко ненавидел... весь текст скрыт [показать]
     
     
  • 2.43, arisu, 20:38, 28/05/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    эвона как, Михалыч ... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, Нанобот, 20:47, 28/05/2015 [ответить] [смотреть все]  
  • +1 +/
    Более того, там запросто могут быть трояны. Вот только процент таких образов неизвестен, поэтому аргументировано поистерить не получится
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor