The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Треть образов контейнеров в Docker Hub содержит опасные уязвимости

28.05.2015 09:47

В результате изучения актуальности содержимого начинки образов контейнеров, размещённых в репозитории Docker Hub, были выявлены серьёзные проблемы с безопасностью. Более 30% добавленных в 2015 году образов контейнеров в официальном репозитории содержат компоненты, имеющие опасные уязвимости, такие как ShellShock в bash и Heartbleed в OpenSSL. При том, что официальные репозитории формируются при участии первичных проектов, таких как Ubuntu, Debian, CentOS, и используются в качестве основы для построения собственных образов (library/ubuntu, library/redis и т.п.).

Для официальных образов, помеченных как самые свежие, опасные уязвимости выявлены в 23%, а при выборке всех имеющихся в репозитории контейнеров - 36%. Если рассматривать уязвимости среднего уровня опасности, такие, как Poodle в OpenSSL, то они затрагивают 74% из контейнеров 2015 года, 47% из самых новых версий контейнеров и 64% из всех контейнеров.

Распределение уязвимостей в официальном репозитории:

При изучении общего репозитория, в котором размещаются образы, подготовленные сторонними пользователями, то число опасных уязвимостей в контейнерах 2015 года составляет 31%, что на 9 пунктов меньше показателей официального репозитория. При рассмотрении самых свежих и всех образов в неофициальном репозитории, число серьёзно уязвимых оценивается в 37% и 40% соответственно, что на 14 и 4 пункта больше официального репозитория.

Распределение уязвимостей в общем репозитории:

В качестве рекомендаций по устранению сложившейся ситуации, проекту Docker рекомендуется ввести в обиход проверку состава образов на наличие устаревших версий программ, содержащих известные уязвимости. Например, добавленный в апреле этого года официальный образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование уязвимостей в образах с информированием о результатах пользователей и разработчиков, и помещением в карантин образов, в которых присутствуют особо опасные уязвимости. Для образов, построенных с использованием эталонных окружений, рекомендуется предусмотреть автоматическое инициирование пересборки в случае исправления опасных уязвимостей в связанных с ними компонентах.

  1. Главная ссылка к новости (http://www.banyanops.com/blog/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/42322-docker
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:44, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пару недель назад я нешел актуальную проблему в openssl которая существует на этапе handshake. Пока еще не раскопал причины до конца, но надеюсь что из нее получится вкусный 0-day.
     
     
  • 2.9, Анонимец (?), 11:27, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Возьми с полки пирожок. Как это относится к теме новости?
     
     
  • 3.10, arisu (ok), 11:29, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > Возьми с полки пирожок. Как это относится к теме новости?

    attention whore.

     
     
  • 4.18, Аноним (-), 12:11, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > attention whore.

    attention whore.

     
  • 3.17, Аноним (-), 12:10, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Возьми с полки пирожок. Как это относится к теме новости?

    Можете для себя считать что никак, так что успокойтесь. В целом же, я не виноват что вы не смогли связать "А" с "Б".

     
  • 2.39, OberonForDog (?), 16:24, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Молодец! А я openssl на Oberon переписываю, будет работать сразу и без багов, потому что это надёжный язык. Предлагаю объединить усилия.
     
     
  • 3.40, dr Equivalent (ok), 19:36, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Поцчему не на Go или Джаваскрипте?
     
     
  • 4.46, Аноним (-), 21:05, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Поцчему не на Go или Джаваскрипте?

    Слишком энтерпрайзно.

     
     
  • 5.50, dr Equivalent (ok), 21:43, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Господь с вами. Энтерпрайзно - это дзява. А го - это хипстота.
     
     
  • 6.51, arisu (ok), 21:44, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А го - это хипстота.

    которая очень хочет стать «ынтырпрайзом».

     
  • 3.47, Аноним (-), 21:15, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Молодец! А я openssl на Oberon переписываю, будет работать сразу и без багов, потому что это надёжный язык. Предлагаю объединить усилия.

    Спасибо за предложение, но я предпочитаю писать на Си. Мой код вроде бы не болеет детскими болезнями вроде разыменовывания нулевого указателя, выходом за границы буфера, утечками памяти и т.п. Кстати я разобрался с этой проблемой с хэндшейком в openssl, отвечу чуть ниже мистеру "швайну".

     
     
  • 4.58, Аноним (-), 08:33, 29/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо за предложение, но я предпочитаю писать на Си. Мой код вроде
    > бы не болеет детскими болезнями вроде разыменовывания нулевого указателя, выходом за
    > границы буфера, утечками памяти и т.п.

    Да там больше проблема в том что протокол навернут до ж...ы, в нем до...я опций и столько же легаси. Половина алгоритмов ни разу не безопасные. Поэтому надежды что рядовой апликушник сможет этим секурно пользоваться - нулевые. Что на обероне, что на сях.

     
  • 4.60, Аноним (-), 11:33, 29/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Спорим авторы OpenSSL думали так же
     
     
  • 5.63, Аноним (-), 13:02, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Спорим авторы OpenSSL думали так же

    Не думал такой бред увидеть на техническом ресурсе. Ладно, спорим. Доказывай.

     
  • 3.53, Аноним (-), 22:42, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Глибц не забудь переписать. Ну и кернель как бы надо.
     
     
  • 4.54, arisu (ok), 22:47, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Глибц не забудь переписать. Ну и кернель как бы надо.

    не надо, native oberon давно есть.

     
     
  • 5.57, Аноним (-), 08:31, 29/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А все-равно не поможет в случае openssl.
    https://dhe512.zmap.io/ - видите страницу? Поздравляю, любой MITM может продаунгрейдить ваше соединение до "экспортного", с коротким диффи-хеллманом. Это кстати фича стандарта, от языка вообще не зависит. Больше пользуйтесь стандартизованной (tm) продукцией, NSA одобряет :)
     
  • 3.56, Аноним (-), 08:26, 29/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Молодец! А я openssl на Oberon переписываю, будет работать сразу и без
    > багов, потому что это надёжный язык. Предлагаю объединить усилия.

    Молодец! Потом еще останется найти кому это будет надо. А оно с каким софтом сможет работать?

     
  • 2.41, А.а. (?), 19:48, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не выйдет, швайн.
     
     
  • 3.48, Аноним (-), 21:31, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не выйдет, швайн.

    Мистер швайн, вообщем я разобрался до конца в причинах происходящего и констатирую что 0-day в моем случае не получится. Проблема нестандартная и интересна своей уникальностью.

     
     
  • 4.49, Аноним (-), 21:36, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего не продать? Жаль.
    Так и будешь трещать в лужу или напишешь уже багрепорт?
     
     
  • 5.55, Аноним (-), 23:20, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ничего не продать? Жаль.

    я не собирался ниче продавать

    > Так и будешь трещать в лужу или напишешь уже багрепорт?

    это тебя не касается

     

  • 1.3, Crazy Alex (ok), 11:03, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ну вот их и догнало. Ну чего - навернут пару уровней сверху, сделают пересборки, что, разумеется, потребует учёта зависимостей - и на новый виток.
     
     
  • 2.7, Аноним (-), 11:25, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то затихли про несомненные преимущества devops.
     
     
  • 3.11, Аноним (-), 11:33, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем‐то выкладывают собраные контейнеры. зачем? для чего?

    наверное чтобы какой-нибудь аноним заимплементил на православном Си замену докеру под вместе с утилитами для формирования контейнеров

     
     
  • 4.13, arisu (ok), 11:44, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +6 +/
    к счастью, те анонимы, которые знают си на достаточном уровне, не настолько упоротые, а те, кто упоротые, не знают си на достаточном уровне.
     
     
  • 5.28, Аноним (-), 14:28, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ты вспомни cdebootstrap и debootstrap  ))
     
  • 3.14, Михрютка (ok), 11:44, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Ну вот их и догнало. Ну чего - навернут пару уровней сверху,
    >> сделают пересборки, что, разумеется, потребует учёта зависимостей - и на новый
    >> виток.
    > любят люди забеги по граблям. заместо положить только скрипты для формирования контейнеров
    > с использованием репозиториев разных дистрибутивов (и припиской «если ты не можешь
    > в этот скрипт, иди в подворотню бухать, безмозглый дебил»), зачем‐то выкладывают
    > собраные контейнеры. зачем? для чего?

    ничто так не закаляет характер как curl | sudo bash

     

  • 1.12, Михрютка (ok), 11:44, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    > содержащих известные уязвимости. Например, добавленный в апреле этого года официальный
    > образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена
    > более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование

    а что они хотят, пятерка уже который год на eus. Хьюз в прошлом году предупреждал http://lists.centos.org/pipermail/centos/2014-November/148008.html

    тут не образ собирать надо, а писать план миграции на шестерку. если конечно, на сопровождение не насрать.

    но шеллшок они вроде пропатчили емнип.

     
  • 1.15, MPEG LA (ok), 11:46, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    вот поэтому простые, предсказуемые, обновляемые и управляемые контейнеры LXC - наше все.
     
     
  • 2.25, pkdr (ok), 13:11, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    OpenVZ тоже неплохи.
     
     
  • 3.64, angra (ok), 16:03, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если уж на то пошло, то с точки зрения безопасности есть только OpenVZ. При создании всего остального о безопасности думали в последнюю очередь, если вообще думали.
     

  • 1.16, Аноним (-), 12:04, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А обновлять сами контейнеры контейнера можно?  Сегодня он без уязвимостей, а завтра найдут еще пачку. Должны быть механизмы перестройки из официальных реп без порчи приложений и данных. (докер не юзал)
     
     
  • 2.27, Аноним (-), 13:18, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Можно делать data-only контейнеры и линковать к рабочим, тогда рабочие можно обновлять без каких-либо проблем, ибо в них не хранится ничего полезного, они просто шаблонные болванки.
    И это то, как оно по нормальному должно быть устроено.
     

  • 1.19, th3m3 (ok), 12:15, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Я всегда говорил, что эти ваши новомодные контейнеры - зло.
     
     
  • 2.20, Аноним (-), 12:21, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я всегда говорил, что эти ваши новомодные контейнеры - зло.

    Не зло, просто иногда не нужно надеяться на других, а делать образы самостоятельно из актуальных источников. Во 1 вы всегда будите точно знать что внутри, а во 2 ответственность должна быть, и 3 готовые образы зачастую сделаны для рекламы простоты, но любая отрасль требует наличия опыта и понимания того как это устроено

     
     
  • 3.26, Аноним (-), 13:14, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не зло, просто иногда не нужно надеяться на других, а делать образы самостоятельно из актуальных источников. Во 1 вы всегда будите точно знать что внутри, а во 2 ответственность должна быть, и 3 готовые образы зачастую сделаны для рекламы простоты, но любая отрасль требует наличия опыта и понимания того как это устроено

    Взгляните на мой коментарии (первый комент в этой теме) и соотносите с тем что вы написали по поводу "вы всегда будите точно знать что внутри". Я надеюсь что у вас интеллекта хватит на нечто большее чем просто свести все к глупому "attention whore". Но даже если его не хватит - не расстраивайтесь, ибо себя можете тешить тем что стадо вас уже заочно поддержало ПЛЮСИКАМИ :-).

     
     
  • 4.30, Аноним (-), 14:35, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оскабливания других, вот это признак низкого уровня интеллекта, поскольку люди н... большой текст свёрнут, показать
     
     
  • 5.33, Аноним (-), 15:18, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Оскарбливания Может соскабливания - Вы так говорите как будто это доказано ... большой текст свёрнут, показать
     
     
  • 6.34, Аноним (-), 15:23, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Я повторюсь:

    > Во-первых тут много беспредметной фантазии, и во-вторых, так я нуждаюсь в том чтобы мое мнение было востребовано обществом. Я не понимаю почему моя персона (или мнение) должно быть востребовано обществом. Может вы в этом нуждаетесь потому что у вас просто раздутое ЧСВ ? :-)

    Противоречии нет, верно?  :-)

     

  • 1.23, YetAnotherOnanym (ok), 12:30, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Зато когда напоминаешь о желательности разбираться в деле, которым занимаешься, набегают убунтята с рассказом, что у них всё работает с пол-пинка и в два клика, и что курение мануалов и ковыряние потрохов - удел вымирающих красноглазиков.
     
  • 1.29, Аноним (-), 14:31, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    читаю комменты и просто ржу, люди незнающие докера тупо не врубаются в чем дело, но мнение имеют )))
     
     
  • 2.45, Нанобот (ok), 20:48, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    This is linux, bro.
     
     
  • 3.59, Аноним (-), 08:51, 29/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да линукс то тут совсем не причем, просто уровень аналитеков удручает.
     

  • 1.31, Аноним (-), 14:59, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    то, что в скачанном с docker hub контейнере можно набрать команду типа "apt upgrade", исследователям и местным экспертам в голову, видимо, не пришло :)
     
     
  • 2.32, Аноним (-), 15:04, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > то, что в скачанном с docker hub контейнере можно набрать команду типа
    > "apt upgrade", исследователям и местным экспертам в голову, видимо, не пришло
    > :)

    Об этом тоже нужно писать даже на Docker Hub


     
  • 2.37, Аноним (-), 15:43, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    apt-get update && apt-get upgrade
    Вот только лучше сбилдить свежачок из докерфайла.

    закрывай pussy.exe и иди спать.
    Кстати, у меня на работе yum, а дома emerge.

     
  • 2.65, angra (ok), 16:07, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Лично я всегда образы контейнеров собираю сам. Потому что мне, в отличии от некоторых, приходит в голову еще и куча возможностей запихать в контейнер троян, от которого никакой apt-get upgrade не спасет.
    С другой стороны, если уж используешь docker, то на безопасность тебе плевать, тогда зачем заморачиваться apt-get upgrade
     

  • 1.36, Аноним (-), 15:39, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вывод - доскер ОПАСЕНЪЪ!!!!!!

    А если честно, то когда-то хейтеры жутко ненавидели сам подход аппаратной виртуализации. Сейчас все пилят опенстек(лично я пилю кастомный горизонтонесовместимый горизонт, который будет работать "по-другому").

    А ещё в нашей конторе ждут интеграции докера с опенстеком, чтобы переползти с аппаратной виртуализации на контейнерную, ибо давно пора. Будем рассматривать LXD или Мезос... Будет весело.

     
     
  • 2.43, arisu (ok), 20:38, 28/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А если честно, то когда-то хейтеры жутко ненавидели сам подход аппаратной виртуализации.

    эвона как, Михалыч!

     

  • 1.44, Нанобот (ok), 20:47, 28/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Более того, там запросто могут быть трояны. Вот только процент таких образов неизвестен, поэтому аргументировано поистерить не получится
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру