В результате изучения актуальности содержимого начинки образов контейнеров, размещённых в репозитории Docker Hub (https://hub.docker.com/), были выявлены (http://www.banyanops.com/blog/analyzing-docker-hub/) серьёзные проблемы с безопасностью. Более 30% добавленных в 2015 году образов контейнеров в официальном репозитории (https://github.com/docker-library/official-images) содержат компоненты, имеющие опасные уязвимости, такие как ShellShock в bash и Heartbleed в OpenSSL. При том, что официальные репозитории формируются при участии первичных проектов, таких как Ubuntu, Debian, CentOS, и используются в качестве основы для построения собственных образов (library/ubuntu, library/redis и т.п.).Для официальных образов, помеченных как самые свежие, опасные уязвимости выявлены в 23%, а при выборке всех имеющихся в репозитории контейнеров - 36%. Если рассматривать уязвимости среднего уровня опасности, такие, как Poodle в OpenSSL, то они затрагивают 74% из контейнеров 2015 года, 47% из самых новых версий контейнеров и 64% из всех контейнеров.
<center><a href="http://www.banyanops.com/img/blog/dockerhub-official-image00... src="http://www.opennet.me/opennews/pics_base/0_1432796910.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
Распределение уязвимостей в официальном репозитории:
<center><a href="http://www.banyanops.com/img/blog/dockerhub-official-image00... src="http://www.opennet.me/opennews/pics_base/0_1432798009.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>При изучении общего репозитория, в котором размещаются образы, подготовленные сторонними пользователями, то число опасных уязвимостей в контейнерах 2015 года составляет 31%, что на 9 пунктов меньше показателей официального репозитория. При рассмотрении самых свежих и всех образов в неофициальном репозитории, число серьёзно уязвимых оценивается в 37% и 40% соответственно, что на 14 и 4 пункта больше официального репозитория.
<center><a href="http://www.banyanops.com/img/blog/dockerhub-general-image001... src="http://www.opennet.me/opennews/pics_base/0_1432797628.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>Распределение уязвимостей в общем репозитории:
<center><a href="http://www.banyanops.com/img/blog/dockerhub-general-image003... src="http://www.opennet.me/opennews/pics_base/0_1432798150.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
В качестве рекомендаций по устранению сложившейся ситуации, проекту Docker рекомендуется ввести в обиход проверку состава образов на наличие устаревших версий программ, содержащих известные уязвимости. Например, добавленный в апреле этого года официальный образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканирование уязвимостей в образах с информированием о результатах пользователей и разработчиков, и помещением в карантин образов, в которых присутствуют особо опасные уязвимости. Для образов, построенных с использованием эталонных окружений, рекомендуется предусмотреть автоматическое инициирование пересборки в случае исправления опасных уязвимостей в связанных с ними компонентах.
URL: http://www.banyanops.com/blog/analyzing-docker-hub/
Новость: http://www.opennet.me/opennews/art.shtml?num=42322
Пару недель назад я нешел актуальную проблему в openssl которая существует на этапе handshake. Пока еще не раскопал причины до конца, но надеюсь что из нее получится вкусный 0-day.
Возьми с полки пирожок. Как это относится к теме новости?
> Возьми с полки пирожок. Как это относится к теме новости?attention whore.
> attention whore.attention whore.
> Возьми с полки пирожок. Как это относится к теме новости?Можете для себя считать что никак, так что успокойтесь. В целом же, я не виноват что вы не смогли связать "А" с "Б".
Молодец! А я openssl на Oberon переписываю, будет работать сразу и без багов, потому что это надёжный язык. Предлагаю объединить усилия.
Поцчему не на Go или Джаваскрипте?
> Поцчему не на Go или Джаваскрипте?Слишком энтерпрайзно.
Господь с вами. Энтерпрайзно - это дзява. А го - это хипстота.
> А го - это хипстота.которая очень хочет стать «ынтырпрайзом».
> Молодец! А я openssl на Oberon переписываю, будет работать сразу и без багов, потому что это надёжный язык. Предлагаю объединить усилия.Спасибо за предложение, но я предпочитаю писать на Си. Мой код вроде бы не болеет детскими болезнями вроде разыменовывания нулевого указателя, выходом за границы буфера, утечками памяти и т.п. Кстати я разобрался с этой проблемой с хэндшейком в openssl, отвечу чуть ниже мистеру "швайну".
> Спасибо за предложение, но я предпочитаю писать на Си. Мой код вроде
> бы не болеет детскими болезнями вроде разыменовывания нулевого указателя, выходом за
> границы буфера, утечками памяти и т.п.Да там больше проблема в том что протокол навернут до ж...ы, в нем до...я опций и столько же легаси. Половина алгоритмов ни разу не безопасные. Поэтому надежды что рядовой апликушник сможет этим секурно пользоваться - нулевые. Что на обероне, что на сях.
Спорим авторы OpenSSL думали так же
> Спорим авторы OpenSSL думали так жеНе думал такой бред увидеть на техническом ресурсе. Ладно, спорим. Доказывай.
Глибц не забудь переписать. Ну и кернель как бы надо.
> Глибц не забудь переписать. Ну и кернель как бы надо.не надо, native oberon давно есть.
А все-равно не поможет в случае openssl.
https://dhe512.zmap.io/ - видите страницу? Поздравляю, любой MITM может продаунгрейдить ваше соединение до "экспортного", с коротким диффи-хеллманом. Это кстати фича стандарта, от языка вообще не зависит. Больше пользуйтесь стандартизованной (tm) продукцией, NSA одобряет :)
> Молодец! А я openssl на Oberon переписываю, будет работать сразу и без
> багов, потому что это надёжный язык. Предлагаю объединить усилия.Молодец! Потом еще останется найти кому это будет надо. А оно с каким софтом сможет работать?
Не выйдет, швайн.
> Не выйдет, швайн.Мистер швайн, вообщем я разобрался до конца в причинах происходящего и констатирую что 0-day в моем случае не получится. Проблема нестандартная и интересна своей уникальностью.
Ничего не продать? Жаль.
Так и будешь трещать в лужу или напишешь уже багрепорт?
> Ничего не продать? Жаль.я не собирался ниче продавать
> Так и будешь трещать в лужу или напишешь уже багрепорт?
это тебя не касается
Ну вот их и догнало. Ну чего - навернут пару уровней сверху, сделают пересборки, что, разумеется, потребует учёта зависимостей - и на новый виток.
Что-то затихли про несомненные преимущества devops.
> зачем‐то выкладывают собраные контейнеры. зачем? для чего?наверное чтобы какой-нибудь аноним заимплементил на православном Си замену докеру под вместе с утилитами для формирования контейнеров
к счастью, те анонимы, которые знают си на достаточном уровне, не настолько упоротые, а те, кто упоротые, не знают си на достаточном уровне.
ты вспомни cdebootstrap и debootstrap ))
>> Ну вот их и догнало. Ну чего - навернут пару уровней сверху,
>> сделают пересборки, что, разумеется, потребует учёта зависимостей - и на новый
>> виток.
> любят люди забеги по граблям. заместо положить только скрипты для формирования контейнеров
> с использованием репозиториев разных дистрибутивов (и припиской «если ты не можешь
> в этот скрипт, иди в подворотню бухать, безмозглый дебил»), зачем‐то выкладывают
> собраные контейнеры. зачем? для чего?ничто так не закаляет характер как curl | sudo bash
> содержащих известные уязвимости. Например, добавленный в апреле этого года официальный
> образ CentOS 5.11 содержит bash c уязвимостью shellshock, которая была выявлена
> более 8 месяцев назад. Кроме того, рекомендуется реализовать периодическое сканированиеа что они хотят, пятерка уже который год на eus. Хьюз в прошлом году предупреждал http://lists.centos.org/pipermail/centos/2014-November/14800...
тут не образ собирать надо, а писать план миграции на шестерку. если конечно, на сопровождение не насрать.
но шеллшок они вроде пропатчили емнип.
вот поэтому простые, предсказуемые, обновляемые и управляемые контейнеры LXC - наше все.
OpenVZ тоже неплохи.
Ну если уж на то пошло, то с точки зрения безопасности есть только OpenVZ. При создании всего остального о безопасности думали в последнюю очередь, если вообще думали.
А обновлять сами контейнеры контейнера можно? Сегодня он без уязвимостей, а завтра найдут еще пачку. Должны быть механизмы перестройки из официальных реп без порчи приложений и данных. (докер не юзал)
Можно делать data-only контейнеры и линковать к рабочим, тогда рабочие можно обновлять без каких-либо проблем, ибо в них не хранится ничего полезного, они просто шаблонные болванки.
И это то, как оно по нормальному должно быть устроено.
Я всегда говорил, что эти ваши новомодные контейнеры - зло.
> Я всегда говорил, что эти ваши новомодные контейнеры - зло.Не зло, просто иногда не нужно надеяться на других, а делать образы самостоятельно из актуальных источников. Во 1 вы всегда будите точно знать что внутри, а во 2 ответственность должна быть, и 3 готовые образы зачастую сделаны для рекламы простоты, но любая отрасль требует наличия опыта и понимания того как это устроено
> Не зло, просто иногда не нужно надеяться на других, а делать образы самостоятельно из актуальных источников. Во 1 вы всегда будите точно знать что внутри, а во 2 ответственность должна быть, и 3 готовые образы зачастую сделаны для рекламы простоты, но любая отрасль требует наличия опыта и понимания того как это устроеноВзгляните на мой коментарии (первый комент в этой теме) и соотносите с тем что вы написали по поводу "вы всегда будите точно знать что внутри". Я надеюсь что у вас интеллекта хватит на нечто большее чем просто свести все к глупому "attention whore". Но даже если его не хватит - не расстраивайтесь, ибо себя можете тешить тем что стадо вас уже заочно поддержало ПЛЮСИКАМИ :-).
> Взгляните на мой коментарии (первый комент в этой теме) и соотносите с
> тем что вы написали по поводу "вы всегда будите точно знать
> что внутри". Я надеюсь что у вас интеллекта хватит на нечто
> большее чем просто свести все к глупому "attention whore". Но даже
> если его не хватит - не расстраивайтесь, ибо себя можете тешить
> тем что стадо вас уже заочно поддержало ПЛЮСИКАМИ :-).Оскабливания других, вот это признак низкого уровня интеллекта, поскольку люди неспособные донести свою мысль обществу скрывают ее за грубостью и унижениями других. Так происходит когда сам человек часто испытывает подобное от других из-за неумения донести свою мысль общественности в цивилизованной форме. Исходя из вышесказанного, вы человек мнение которого мало востребовано обществом, поэтому вы, восполняете недостаток внимания оскабливанием других, и сами из себя никакой ценности не представляете.
> Оскабливания других,Оскарбливания? Может соскабливания? :-)
> вот это признак низкого уровня интеллекта, поскольку люди неспособные донести свою мысль обществу скрывают ее за грубостью и унижениями других.
Вы так говорите как будто это доказано и однозначно. Но ведь это не так. И да, я вроде бы никого не оскорблял. Если вы среагировали на слово "стадо" - у меня для вас плохие новости :-).
> Так происходит когда сам человек часто испытывает подобное от других из-за неумения донести свою мысль общественности в цивилизованной форме.Я стараюсь писать свои сообщения так чтобы разного типажа люди реагировали по-разному. У меня получается и то что вы среагировали - есть тому прямое доказательство. Ясна ли моя мысль в этой форме и являетя ли она цивилизованной. Если является и ясна, то понимаете ли вы что из этого следует? Если нет, то надо ставить вопрос достатка интеллекта. Верно?
> Исходя из вышесказанного, вы человек мнение которого мало востребовано обществом, поэтому вы, восполняете недостаток внимания оскабливанием других, и сами из себя никакой ценности не представляете.
Во-первых тут много беспредметной фантазии, и во-вторых, так я нуждаюсь в том чтобы мое мнение было востребовано обществом. Я не понимаю почему моя персона (или мнение) должно быть востребовано обществом. Может вы в этом нуждаетесь потому что у вас просто раздутое ЧСВ ? :-)
Я повторюсь:> Во-первых тут много беспредметной фантазии, и во-вторых, так я нуждаюсь в том чтобы мое мнение было востребовано обществом. Я не понимаю почему моя персона (или мнение) должно быть востребовано обществом. Может вы в этом нуждаетесь потому что у вас просто раздутое ЧСВ ? :-)
Противоречии нет, верно? :-)
Зато когда напоминаешь о желательности разбираться в деле, которым занимаешься, набегают убунтята с рассказом, что у них всё работает с пол-пинка и в два клика, и что курение мануалов и ковыряние потрохов - удел вымирающих красноглазиков.
читаю комменты и просто ржу, люди незнающие докера тупо не врубаются в чем дело, но мнение имеют )))
This is linux, bro.
Да линукс то тут совсем не причем, просто уровень аналитеков удручает.
то, что в скачанном с docker hub контейнере можно набрать команду типа "apt upgrade", исследователям и местным экспертам в голову, видимо, не пришло :)
> то, что в скачанном с docker hub контейнере можно набрать команду типа
> "apt upgrade", исследователям и местным экспертам в голову, видимо, не пришло
> :)Об этом тоже нужно писать даже на Docker Hub
apt-get update && apt-get upgrade
Вот только лучше сбилдить свежачок из докерфайла.закрывай pussy.exe и иди спать.
Кстати, у меня на работе yum, а дома emerge.
Лично я всегда образы контейнеров собираю сам. Потому что мне, в отличии от некоторых, приходит в голову еще и куча возможностей запихать в контейнер троян, от которого никакой apt-get upgrade не спасет.
С другой стороны, если уж используешь docker, то на безопасность тебе плевать, тогда зачем заморачиваться apt-get upgrade
Вывод - доскер ОПАСЕНЪЪ!!!!!!А если честно, то когда-то хейтеры жутко ненавидели сам подход аппаратной виртуализации. Сейчас все пилят опенстек(лично я пилю кастомный горизонтонесовместимый горизонт, который будет работать "по-другому").
А ещё в нашей конторе ждут интеграции докера с опенстеком, чтобы переползти с аппаратной виртуализации на контейнерную, ибо давно пора. Будем рассматривать LXD или Мезос... Будет весело.
> А если честно, то когда-то хейтеры жутко ненавидели сам подход аппаратной виртуализации.эвона как, Михалыч!
Более того, там запросто могут быть трояны. Вот только процент таких образов неизвестен, поэтому аргументировано поистерить не получится
