公開倉庫中Docker鏡像的漏洞分析結(jié)果發(fā)布

責(zé)任編輯:editor004

作者:Hrishikesh Barua

2017-04-10 11:30:42

摘自:INFOQ

這項(xiàng)研究掃描了133個公開Docker倉庫中的91個,其中每個倉庫都有一個添加‘latest’標(biāo)記的鏡像,底層的鏡像是一個主Linux分發(fā)版本并且?guī)в锌蛇\(yùn)行的包管理器。

Federacy的一名研究人員發(fā)布了一項(xiàng)報告,該報告分析了公開倉庫中Docker鏡像的漏洞。24%的鏡像發(fā)現(xiàn)了明顯的漏洞,其中基于Ubuntu的鏡像漏洞最多,而基于Debian的鏡像漏洞最少。

這項(xiàng)研究掃描了133個公開Docker倉庫中的91個,其中每個倉庫都有一個添加‘latest’標(biāo)記的鏡像,底層的鏡像是一個主Linux分發(fā)版本并且?guī)в锌蛇\(yùn)行的包管理器。這里,使用了一個修改過的vuls開源漏洞掃描器來掃描鏡像。vuls是用Go語言編寫的,支持Linux和FreeBSD。數(shù)據(jù)是通過Federacy內(nèi)部構(gòu)建的工具進(jìn)行分析的。鑒于vuls還不支持Alpine和靜態(tài)二進(jìn)制文件,它們就從本次分析中排除了出去。計分是按照CVSS v2標(biāo)準(zhǔn)計算得出的。

在掃描到的所有鏡像中,其中的24%存在較為明顯的漏洞,在這些漏洞中,11%的風(fēng)險等級為高,13%的風(fēng)險為中等,剩余的被視為潛在漏洞。掃描的Linux分發(fā)版本包括Ubuntu、Debian和RHEL?;赨buntu的鏡像在嚴(yán)重漏洞總數(shù)上的占比最高(27%),而Debian則是漏洞最少的分發(fā)版本(8%)。但是,基礎(chǔ)的Ubuntu鏡像并未包含任何已知的漏洞,這也就是說,所報告的這些漏洞是因?yàn)殓R像創(chuàng)建者安裝了其他的包和/或配置發(fā)生了變更引發(fā)的。另外,在官方倉庫中,Debian是占據(jù)主導(dǎo)地位的基礎(chǔ)分發(fā)鏡像(79%),Ubuntu占據(jù)了16%,而RHEL與這兩者相比,其樣本要小得多(4%)。

  圖片來源 : https://www.federacy.com/docker_image_vulnerabilities

在較新的Debian和Ubuntu釋放版本中,所發(fā)現(xiàn)的問題都更少一些。其中的一個原因可能是在較新的分發(fā)版本中,安裝的包更少,因此所造成的攻擊面(attack surface)就會更小。在此之前,有一份類似的報告指出了Docker Hub鏡像上30%的高優(yōu)先級漏洞。

整體而言,最常見的漏洞是SSL Death Alert,對于Ubuntu也是如此,這種漏洞可能會導(dǎo)致基于GnuTLS、OpenSSL和NSS編譯的軟件產(chǎn)生DoS攻擊,這樣的軟件就包括nginx。而對于Debian,最常見的是一個很嚴(yán)重的漏洞,但是它不太可能影響到大多數(shù)人,因?yàn)樗婕暗骄彺嬗嫊r攻擊(timing attacks)和對系統(tǒng)的本地訪問。

對于Docker鏡像掃描來說,vuls并不是唯一可用的掃描器。vuls在運(yùn)行時會查詢包管理器,從而得到安裝的包、版本和變更日志。然后,它會將變更日志CVE與國際漏洞數(shù)據(jù)庫(National Vulnerability Database,NVD)進(jìn)行比對。另外的一個掃描器是Clair,它被Quay.io鏡像庫和Kubernetes社區(qū)所采用,用于它們所維護(hù)的所有鏡像的掃描。除此之外,還有商業(yè)供應(yīng)商比如Twistlock,它與各種云平臺實(shí)現(xiàn)了集成。

盡管這個報告討論了鏡像所存在的風(fēng)險,但是并沒有提及如何解決它們的細(xì)節(jié)。其中的一些建議就是在鏡像的構(gòu)建過程中安裝包更新、在包運(yùn)行的時候自動更新以及在鏡像的構(gòu)建過程中添加漏洞分析過程。還有一個建議就是使用Alpine Linux或類似的分發(fā)版本,或者是構(gòu)建靜態(tài)二進(jìn)制的鏡像。

查看英文原文:Public Docker Image Vulnerability Research Findings Released

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號