The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.03.2017 12:51  11% актуальных образов в репозиториях Docker содержат опасные уязвимости

Проанализировав состав свежих образов, представленных в официальных репозиториях Docker, исследователи обнаружили, что в 11% из них присутствуют неисправленные опасные уязвимости, а в 13% уязвимости средней степени опасности. Для проверки использовалась утилита vuls, оценивающая версии установленных пакетов на наличие известных уязвимостей. Для сравнения, похожее исследование, проведённое два года назад среди официальных образов, помеченных как самые свежие (выставлен тег "latest"), показало наличие опасных уязвимостей в 23% образов и уязвимостей средней опасности в 24%.

Меньше всего уязвимостей было выявлено в образах, построенных на пакетной базе Debian (8.33%), а больше всего опасных уязвимостей было найдено в образах на базе Ubuntu (26.67%), при том, что на базе Ubuntu построено 16% из рассмотренных образов Docker, а на базе Debian - 79%. Наиболее часто встречающейся проблемой названа уязвимость CVE-2016-8610, которую можно использовать для инициирования отказа в обслуживании сервера через наводнение специально оформленными пакетами. Из опасных уязвиомостей лидером стали CVE-2016-4658 и CVE-2016-1252 в libxml2 и apt, которые встречаются в 5% рассмотренных образов.



  1. Главная ссылка к новости (https://www.federacy.com/docke...)
  2. OpenNews: В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера
  3. OpenNews: Треть образов контейнеров в Docker Hub содержит опасные уязвимости
  4. OpenNews: Обновление Docker 1.3.2 с устранением критических уязвимостей
  5. OpenNews: Выявлена уязвимость, позволяющая выйти за пределы контейнеров Docker
  6. OpenNews: Раскрыта информация об уязвимости, позволяющей обойти авторизацию на Docker Hub
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, freehck, 13:27, 15/03/2017 [ответить] [смотреть все]
  • +13 +/
    Вот тут бы всяким поклонникам snap-ов и им подобных решений задуматься, но...
     
     
  • 2.5, Аноним, 13:39, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –8 +/
    Не задумаются, ибо есть 100500 более серьёзных проблем, которые доскер аппимаге... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 14:00, 15/03/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    потому что вы поклонники Hype Drive Development https blog daftcode pl hype-dr... весь текст скрыт [показать]
     
     
  • 4.15, Аноним, 14:06, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Эти умные слова не к месту немного Особенно в моём случае Несколько лет назад,... весь текст скрыт [показать]
     
     
  • 5.19, Moomintroll, 14:32, 15/03/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Странная логика Т е openvz или lxc 8212 это оверхед, а докер - нормалёк ... весь текст скрыт [показать]
     
     
  • 6.23, Аноним, 14:53, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    там и докера не было. В те времена.
     
  • 5.22, anonimus, 14:38, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Прямо таки целая неделя И на каждый деплой Или все таки один раз сделал и рабо... весь текст скрыт [показать]
     
     
  • 6.24, Аноним, 14:55, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    один раз написал скрипт для сборки Типа сегодняшнего Dockerfile, но без докера ... весь текст скрыт [показать]
     
  • 5.29, Аноним, 15:27, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А пакетные менеджеры тогда ещё не изобрели ... весь текст скрыт [показать]
     
     
  • 6.32, username, 15:34, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Как бы, разные вещи, пакетник суть просто распаковщик ... весь текст скрыт [показать]
     
  • 6.38, Аноним, 15:58, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    >> переносимой.

    Именно переносимой!

     
     
  • 7.39, username, 16:01, 15/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Счас тебе скажут что собрать десяток пакетов под все сборки линукса не проблема,... весь текст скрыт [показать]
     
     
  • 8.43, Аноним, 16:36, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Точно! :)
     
  • 8.74, рлрлро, 20:36, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    просто кто-то не осилил OBS
     
  • 5.30, username, 15:29, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Плюсую, делал тоже самое, писал самопальные обвязки что суть была, докер над lx... весь текст скрыт [показать]
     
     
  • 6.34, анонимус вульгарис, 15:44, 15/03/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Разуваем глаза и читаем Если б тестировали всё подряд, результат был бы порядка... весь текст скрыт [показать]
     
     
  • 7.37, username, 15:52, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Хз, я откалываюсь от aws docker image и делаю апдейт установку барахла на каждой... весь текст скрыт [показать]
     
  • 6.63, тигар, 08:58, 16/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > нечистоплотных девопсов.

    а бывают другие?

     
  • 5.55, vitvegl, 21:54, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Странно, потому как хоть Docker и смен backend на свой, проблемы связанные с ядр... весь текст скрыт [показать]
     
  • 5.57, Михрютка, 23:20, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    я вот хз как у вас поворачивается язык называть контейнеры переносимыми понятно... весь текст скрыт [показать]
     
  • 3.18, Аноним, 14:31, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Что то мне страшно, может стоит заменить дженкинс на красивый gitlab-ci-multi-ru... весь текст скрыт [показать]
     
     
  • 4.25, Аноним, 14:56, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    да хоть и на мезос, хоть это и некрасиво. Всё это по сути - таскраннеры.
     
  • 1.2, freehck, 13:29, 15/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Кстати, каким молодчиком выглядит rhel: ни одной серьёзной уязвимости не выявлено. Вот только если debian - 79% рассмотренных контейнеров, а ubuntu - 16%, значит на rhel остаётся... 5%? Ясно-понятно. =)
     
     
  • 2.10, Аноним, 13:53, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Молодец, возьми с полки пирожок А на самом деле выглядит это так, что возможн... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 13:35, 15/03/2017 [ответить] [смотреть все]  
  • +3 +/
    Вот, еще в одной помойке нашли кучу дырявого софта, а все потому-что хыпстеры не... весь текст скрыт [показать]
     
     
  • 2.7, freehck, 13:42, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Да тут дело даже не столько в создании контейнеров, сколько в том, что на их соп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, анонимус вульгарис, 15:35, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А чего там сопровождать Они по определению одноразовые Те, кто используют один... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 16:03, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    А у меня время жизни контейнера соизмеримо с временем жизни хоста ... весь текст скрыт [показать]
     
     
  • 5.45, анонимус вульгарис, 17:19, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Тогда на фига докер С него весь профит в том, что контейнерами можно жонглирова... весь текст скрыт [показать]
     
     
  • 6.47, Аноним, 17:51, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    > докер
    > LXC

    Теорему Эскобара доказываете?

     
  • 2.8, Аноним, 13:44, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Я один из тех хипсторов, готовивший контейнеры самостоятельно До появления доск... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, pkdr, 13:56, 15/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Как показало данное исследование, как минимум 11 докеровских контейнеров не пов... весь текст скрыт [показать]
     
     
  • 4.16, Аноним, 14:08, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    11% - очень даже неплохо, как для начала.


     
     
  • 5.49, анонимус вульгарис, 18:39, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Так это не начало, а продолжение В начале было 23 Читайте в новостях не тольк... весь текст скрыт [показать]
     
  • 3.21, Аноним, 14:36, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    до появления докера это называлось chroot и почему вы считаете что до докера тол... весь текст скрыт [показать]
     
     
  • 4.26, Аноним, 14:59, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    да, у меня это был чрут, и не полновесный, а сильно усечённый, но с докером сего... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 18:54, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    почему вы себя хипстером называете?
     
  • 1.4, Аноним, 13:35, 15/03/2017 [ответить] [смотреть все]  
  • –1 +/
    Да плевать, разве не для этого придумали изолированные контейнеры?
     
     
  • 2.6, freehck, 13:40, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Ну то есть то, что твой контейнер потенциально делает из твоей машинки звено бот... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, username, 17:55, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Потенциально любой необслуживаемый сервер тоже звено ботнета, давайте все потуши... весь текст скрыт [показать]
     
     
  • 4.50, анонимус вульгарис, 18:41, 15/03/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Давайте Если б они были кому-нибудь нужны, их бы обслуживали ... весь текст скрыт [показать]
     
     
  • 5.66, username, 12:48, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    рили? похоже ты не умеешь в реальность.
     
     
  • 6.71, анонимус вульгарис, 18:52, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Нет, это кто-то не умеет в автоматизацию.
     
  • 3.75, Анон007, 21:42, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    То же самое делает не обновленный вовремя пакет, или устаревший пакет из репозит... весь текст скрыт [показать]
     
     
  • 4.77, freehck, 06:42, 17/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Нет Просто нет Контейнеры нужны не для деплоя серверов Это какие-то извращенц... весь текст скрыт [показать]
     
     
  • 5.78, пох, 08:45, 17/03/2017 [^] [ответить] [смотреть все]  
  • +/
    увы, девопы это придумали В смысле докера, для остальных были lxc openvz И вся... весь текст скрыт [показать]
     
  • 1.12, Аноним, 13:56, 15/03/2017 [ответить] [смотреть все]  
  • +/
    бессмысленное исследование Во-первых, все эти уязвимости получаются из-за необн... весь текст скрыт [показать]
     
     
  • 2.14, pkdr, 14:06, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > бессмысленное исследование. Во-первых, все эти уязвимости получаются из-за необновленных версий пакетов и лечатся банальным apt update && apt dist-upgrade.

    Вот только хипстеры выше таких скучных вещей, как обновление ПО.

    > Во-вторых, кому какое дело до уязвимости в libxml в каком-нибудь контейнере с монгой, который хорошо если светит наружу одним портом?

    Совсем недавно пролетала новость про 100500 вывешенных в мир контейнеров с монгой.

    > В-третьих, в любом сколько-нибудь сложном продакшне контейнеры собираются вручную.

    Вот только на практике я встречал много больших и крупных компаний, где используют первый попавшийся образ аргументируя "ну оно же работает, и так сойдёт"

     
     
  • 3.17, Аноним, 14:12, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    1 - сам себе противоречишь 2 - да, это проблема контейнеров ну-ну 3 - сиск... весь текст скрыт [показать]
     
  • 3.56, vitvegl, 21:59, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    А при чем здесь Docker ... весь текст скрыт [показать]
     
  • 3.65, Zarat, 11:16, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Когда насяльника требует, чтоб вчера контейнер был запущен, а сегодня в него тол... весь текст скрыт [показать]
     
  • 2.20, Клыкастый, 14:34, 15/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    т е сначала заворачиваем в докер чтоб поставил и забыл , а потом не забываем и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 15:07, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет - apt update apt upgrade - в докерфайле на сборочнице Обновление - это ... весь текст скрыт [показать]
     
  • 3.28, Аноним, 15:08, 15/03/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты, наверное, не в курсе, но решается это действительно просто Dockerfile всего... весь текст скрыт [показать]
     
     
  • 4.31, Клыкастый, 15:33, 15/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    проблема не в том, что я знаю или не знаю проблема в том, что часть раздающих д... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 16:05, 15/03/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Вот и не волнуйся. Тебе это всё равно не грозит.
     
     
  • 6.52, _, 19:04, 15/03/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    На него навалятся 100500 ботов с каждого из 100500 докер-контейнеров поднятых шк... весь текст скрыт [показать]
     
  • 6.58, Котофалк, 23:56, 15/03/2017 [^] [ответить] [смотреть все]  
  • +/
    а мне, мне тоже не волноваться? а то я волнуюся: вдруг мне нужно волноваться?
     
  • 4.46, анонимус вульгарис, 17:28, 15/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Да-да, берём дырявый образ, обновляем его дырявым apt и плодим ноды ботнета ... весь текст скрыт [показать]
     
  • 4.62, Аноним, 01:25, 16/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    вы докером-то пользовались хоть раз пересборка такого докерфайла приведет к том... весь текст скрыт [показать]
     
     
  • 5.80, Jack, 14:41, 19/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Я в свое время с этим боролся обновляя таймстамп в комментарии в докерфайле До... весь текст скрыт [показать]
     
  • 3.81, Нониус, 10:14, 22/03/2017 [^] [ответить] [смотреть все]  
  • +/
    а потом не забываем а забиваем.
     
  • 2.59, пох, 00:24, 16/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    и кто же собирается это делать - в каждом инстансе каждого контейнера, который т... весь текст скрыт [показать] [показать ветку]
     
  • 1.35, Антон, 15:45, 15/03/2017 [ответить] [смотреть все]  
  • –2 +/
    вобщемта
      git pull Dockerfile
      docker build
      docker run
    не особо сложнее
      apt-get update
      apt-get upgrade
      systemctl restart

    Надо только смотреть что в докерфайле и использовать официальные образы.
    Первичная настройка сложнее, зато потом удобно разворачивать.

     
  • 1.36, username, 15:49, 15/03/2017 [ответить] [смотреть все]  
  • +/
    Желаю видеть такие-же регулярные отчеты об анализе на уязвимости каталога дополнений вротпресс и друпал. Иначе эта вся кампания как-то странно выглядит.
     
     
  • 2.60, пох, 00:28, 16/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    как ты докера-то обocрал как бе дополнения к вордпрессу вполне себе компактны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.67, username, 12:57, 16/03/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Вся ручная проверка контейнера укладывается в yum, apt upgrade Просто кто-то ... весь текст скрыт [показать]
     
     
  • 4.69, Аноним, 18:06, 16/03/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    и так со всеми стапятьюдесятью контейнерами, которые понадобились именно на этой... весь текст скрыт [показать]
     
  • 4.72, анонимус вульгарис, 19:00, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    Это справедливо для традиционных контейнеров, где крутится полноценная система ... весь текст скрыт [показать]
     
     
  • 5.73, пох, 20:29, 16/03/2017 [^] [ответить] [смотреть все]  
  • +/
    у полноценной системы как раз есть полноценный автообновлятор, если его специаль... весь текст скрыт [показать]
     
  • 1.44, YetAnotherOnanym, 17:01, 15/03/2017 [ответить] [смотреть все]  
  • +1 +/
    Короче, всё как всегда: хочешь хорошо - сделай сам.
     
     
  • 2.70, Аноним, 18:28, 16/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    самому на порядок проще воспользоваться полноценным отдельным сервером виртуальн... весь текст скрыт [показать] [показать ветку]
     
  • 1.53, ALex_hha, 20:57, 15/03/2017 [ответить] [смотреть все]  
  • +9 +/
    Ну классика ж

    Docker - это отличная возможность переложить проблемы поддержания  актуальных версий системных библиотек (того же самого openssl) с  поставщиков ОС и системных администраторов на никого. После того, как  проблемы безопасности окружения переложены на никого, скорость внедрения  и эксплуатации заметно возрастает, ведь производительность никого  ограничена только супремумом пофигизма, а он, в свою очередь, верхней  границы не имеет (с)

     
     
  • 2.61, пох, 00:44, 16/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Ну классика ж

    amarao неточен. Надо было поставить точку после "возрастает".

    > производительность
    > никого  ограничена только супремумом пофигизма, а он, в свою очередь,

    пофигизм тут не причем.
    Даже если тебе НЕ пофиг, как только ты начал таскать контейнеры из репо (неважно, общедоступного или корпоративного), а не собирать их сам (что в случае докера, мягко говоря, странная идея) - у тебя уже нет никакой физической возможности уследить за их содержимым. Справиться бы хотя бы с тем, чтобы вовремя сами контейнеры обновлялись, и ничего при этом в системе не порушить...

     
  • 1.54, ALex_hha, 21:01, 15/03/2017 [ответить] [смотреть все]  
  • +/
    Вообще частично проблему решает интеграция в CI сканеров, например - https://github.com/coreos/clair
     
  • 1.64, Аноним, 10:49, 16/03/2017 [ответить] [смотреть все]  
  • –1 +/
    По-хорошему нужно использовать образы наследованные от Alpine Linux, там будет м... весь текст скрыт [показать]
     
  • 1.68, ALex_hha, 13:17, 16/03/2017 [ответить] [смотреть все]  
  • +1 +/
    > у тебя уже нет никакой физической возможности уследить за их содержимым.

    а кто мешает после сборки образа запустить тот же ansible playbook и убедиться, что у вас нет уязвимых версий пакетов?

    > По-хорошему нужно использовать образы наследованные от Alpine Linux, там будет меньше дырявого хлама

    а там что, какие то другие версии apache/php/java? Они не подвержены уязвимостям?

     
     
  • 2.76, пох, 00:54, 17/03/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    отсутствие внутри скачанного из репо-помойки образа ansible, плейбука к оному с ... весь текст скрыт [показать] [показать ветку]
     
  • 1.79, ALex_hha, 19:33, 17/03/2017 [ответить] [смотреть все]  
  • +/
    у нас в проде используется два дистра ubuntu 14.04/16.04. Так что никаких проблем нет. Если у вас зоопарк, то кто вам виноват
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor