7月25日訊Twitter存在高危漏洞,攻擊者能從服務(wù)器下載Vine(Vine是微軟公司開(kāi)發(fā)基于地理位置的SNS系統(tǒng))全部源代碼,此后Twitter花5分鐘時(shí)間修復(fù)了該漏洞。
安全研究員Avicoder發(fā)現(xiàn)這個(gè)漏洞,并于3月31日向Twitter反映情況。漏洞的核心在于Twitter員工使用不安全的Docker設(shè)置管理Vine的內(nèi)容。
聯(lián)網(wǎng)Docker安裝泄露Vine源代碼
Docker是管理服務(wù)器鏡像、創(chuàng)建、輸送和管理應(yīng)用程序的開(kāi)放式平臺(tái)。Docker可用來(lái)配置筆記本電腦、虛擬機(jī)或云服務(wù)等的OS鏡像。
通常,由于Docker安裝處理的內(nèi)容敏感,因此Docker安裝不供開(kāi)放使用。Twitter的Docker安裝則允許Avicoder探測(cè)查看能發(fā)現(xiàn)的一切。
更糟的是,Twitter未運(yùn)行最新版的Docker(v2),而是用的舊API,v1。通過(guò)Docker API v1文檔網(wǎng)站,Avicoder嘗試所有能找到的命令發(fā)現(xiàn)可以執(zhí)行的操作。
Avicoder發(fā)現(xiàn)一系列命令可用,包括搜索和檢索Twitter Docker設(shè)置的內(nèi)容。
研究員從Twitter Vine服務(wù)器下載超過(guò)80 個(gè)Docker鏡像
Avicoder能從Twitter Docker安裝發(fā)現(xiàn)并下載超過(guò)80個(gè)服務(wù)器鏡像。
Avicoder使用本地Docker客戶端在筆記本電腦安裝數(shù)個(gè)這些OS鏡像后,他發(fā)現(xiàn)其中一個(gè)服務(wù)器鏡像包含Vine服務(wù)的全部源代碼。
Avicoder解釋道,“我能看到Vine的全部源代碼、API密鑰以及第三方密鑰和秘密數(shù)據(jù)。甚至運(yùn)行鏡像不需要任何參數(shù),我能在本地托管Vine的副本。”
Avicoder向Twitter報(bào)告了漏洞,5分鐘后,Docker安裝被安全保護(hù)。Twitter為Avicoder給予10,080美元的漏洞報(bào)告獎(jiǎng)金。