排行前1000的docker容器中,20%存在root帐户配置错误
在Docker Hub门户中“最受欢迎的Docker容器”排名前1000的Docker容器中约有20%存在帐户错误配置的缺陷,在某些情况下,这些缺陷可能会使用户系统受到远程网络攻击。
上周,当思科Talos研究人员发现过去三年发布的Alpine Linux Docker镜像中都带有一个使用空白的活动的root帐户,这个漏洞被标记为CVE-2019-5021。而在经过一段时间的研究后,有研究人员发现存在类似缺陷的貌似不只存在于Alpine Linux Docker。
Kenna Security的首席安全工程师Jerry Gamblin对整个Docker Hub软件包库中的这类问题进行了深入的研究。
194个潜在危险的DOCKER容器
Gamblin在电子邮件中向ZDNet表示:“我从Docker Hub中取出了前1000个Docker容器,并试图在其中的/etc/shadow
文件中查找是否存在root:::0:::::
,因为这段字符意味着系统的root帐户处于活动状态,且没有密码”。
最后,他发现了194个Docker镜像带有空白密码的root帐户。
这其中不乏一些来自鼎鼎有名的政府和企业的容器,包括微软,孟山都,HashiCorp,Mesosphere和英国政府。
Gamblin在一篇博客文章中表示:“kylemanna/openvpn是名单上最受欢迎的容器,它的pull数量超过10000000”。
需要明确的是,这种错误配置并不是在任何情况下都会对用户造成安全威胁。正如Alpine Linux团队解释的那样,只有配置为使用Linux PAM [身份验证模块]和/etc/shadow
进行身份验证的Linux系统才易受到攻击。
Gamblin告诉ZDNet:“在检查了1000个容器并发现其中20%的容器都含有此错误配置后,我们需要做的第一件事就是告诉任何使用这类容器的用户一定要注意避开这个陷阱,最好能自己修复这个错误配置”。此外,root帐户的存在本身就代表着不安全。
研究人员还在GitHub上发布了这些潜在的易受攻击的Docker容器列表,正在使用这些容器的用户可借此查看一下系统配置,确定是否是受到影响。
“我已经直接与名单上部分公司和个人进行了联系。另外据我所知,Docker Hub暂时无法因为个别容器的配置不当去联系相关的提供者”。
Gamblin最后表示:“我希望我对CVE-2019-5021的研究能够使大家更加重视有关容器维护方面的问题”。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2658.html
来源:https://www.zdnet.com/article/root-account-misconfigurations-found-in-20-of-top-1000-docker-containers/
排行前1000的docker容器中,20%存在root帐户配置错误相关推荐
- docker 容器中的 uid 和 gid
先来了解下 uid 和 gid uid 和 gid 由 Linux 内核负责管理,并通过内核级别的系统调用来决定是否应该为某个请求授予特权.比如当进程试图写入文件时,内核会检查创建进程的 uid 和 ...
- docker -v 覆盖了容器中的文件_10分钟让你理解 docker 容器中的 uid 和 gid
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户.听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上 ...
- 容器安装java_在docker容器中安装Java(从宿主机向docker容器中拷贝文件)
操作系统 [root@Optimus /]# uname -a Linux Optimus 2.6.32-504.el6.x86_64 #1 SMP Wed Oct 15 04:27:16 UTC 2 ...
- sql docker容器_了解SQL Server Docker容器中的备份和还原操作
sql docker容器 In this 17th article of the series (see the full article index at bottom), we will disc ...
- Openstack技术\在Docker容器中部署MySQL,并通过外部mysql客户端操作MySQL Server
MySQL部署 在Docker容器中部署MySQL,并通过外部mysql客户端操作MySQL Server. 操作步骤: 搜索mysql镜像 拉取mysql镜像 创建容器 操作容器中的mysql 容器 ...
- 性能监控之 JMX 监控 Docker 容器中的 Java 应用
文章目录 一.前言 二.遇到的问题 1.问题现象 2.问题分析 三.解决方案 四.总结 一.前言 今天在配置 docker 和 JMX 监控的时候,看到有一个细节和非容器环境中的 JMX 配置不太一样 ...
- 在Docker容器中正确配置Gunicorn
Gunicorn是用于Python应用程序的通用WSGI服务器,但是大多数在Docker容器中使用的gunicorn配置都是错误的.在容器中运行gunicorn与在虚拟机或物理服务器上运行不同,并且还 ...
- docker网络问题解决办法“大全”:关于宿主机访问不了docker容器中web服务,或者容器内访问不了外网的问题的解决办法
docker网络问题解决办法"大全":关于宿主机访问不了docker容器中web服务,或者容器内访问不了外网的问题的解决办法 参考文章: (1)docker网络问题解决办法&quo ...
- 如何在Docker容器中挂载主机目录
本文翻译自:How to mount a host directory in a Docker container I am trying to mount a host directory into ...
最新文章
- autoware中的交通灯识别(八)
- 批量从apk文件中提取出so文件
- 一年六篇顶会的清华大神提出Fastformer:史上最快、效果最好的Transformer
- DLL延迟加载工程分析
- OO实现ALV TABLE 十:ALV的页眉页脚
- java内存系列:测试JDK最大内存
- 计算点在哪些四边形内
- 在小公司待了3年后,我废了
- Atitit 数据库技术体系 艾提拉总结 目录 1. 2. 初始概念	5	2 1.1. 2.1. 数据库的类型,网状,层次,树形数据库,kv数据库。Oodb 多媒体数据库	5	2 1.2. 2.2.
- matlab绘制三角函数乘除法的问题
- 加解密篇 - 非对称加密算法 (RSA、DSA、ECC、DH)
- ensp华为防火墙及应用
- GoLang之使用uber-go/dig进行依赖注入
- (三)shp路网数据导入postgres中
- 关于EasyRecovery工具数据恢复的原理
- 穷人思维和富人思维,决定你一生的财富
- 利用ELK技术栈收集nginx日志
- 【面试总结】Unity3D面试题总结
- 两周之后,英特尔或将宣布启用芯片代工:直接4nm,2023年出货?
- k8s学习笔记——ceph rbd本地手动挂载