federacy的一名研究人員發布了一項報告,該報告分析了公開倉庫中docker映象的漏洞。24%的映象發現了明顯的漏洞,其中基於ubuntu的映象漏洞最多,而基於debian的映象漏洞最少。
\\ 這項研究掃瞄了133個公開docker倉庫中的91個,其中每個倉庫都有乙個新增『latest』標記的映象,底層的映象是乙個主linux分發版本並且帶有可執行的包管理器。這裡,使用了乙個修改過的vuls開源漏洞掃瞄器來掃瞄映象。vuls是用go語言編寫的,支援linux和freebsd。資料是通過federacy內部構建的工具進行分析的。鑑於vuls還不支援alpine和靜態二進位制檔案,它們就從本次分析中排除了出去。計分是按照cvss v2標準計算得出的。
\\ 在掃瞄到的所有映象中,其中的24%存在較為明顯的漏洞,在這些漏洞中,11%的風險等級為高,13%的風險為中等,剩餘的被視為潛在漏洞。掃瞄的linux分發版本包括ubuntu、debian和rhel。基於ubuntu的映象在嚴重漏洞總數上的佔比最高(27%),而debian則是漏洞最少的分發版本(8%)。但是,基礎的ubuntu映象並未包含任何已知的漏洞,這也就是說,所報告的這些漏洞是因為映象建立者安裝了其他的包和/或配置發生了變更引發的。另外,在官方倉庫中,debian是佔據主導地位的基礎分發映象(79%),ubuntu佔據了16%,而rhel與這兩者相比,其樣本要小得多(4%)。
\\ 在較新的debian和ubuntu釋放版本中,所發現的問題都更少一些。其中的乙個原因可能是在較新的分發版本中,安裝的包更少,因此所造成的攻擊面(attack su***ce)就會更小。在此之前,有乙份類似的報告指出了docker hub映象上30%的高優先順序漏洞。
\\ 整體而言,最常見的漏洞是ssl death alert,對於ubuntu也是如此,這種漏洞可能會導致基於gnutls、openssl和nss編譯的軟體產生dos攻擊,這樣的軟體就包括nginx。而對於debian,最常見的是乙個很嚴重的漏洞,但是它不太可能影響到大多數人,因為它涉及到快取計時攻擊(timing attacks)和對系統的本地訪問。
\\ 對於docker映象掃瞄來說,vuls並不是唯一可用的掃瞄器。vuls在執行時會查詢包管理器,從而得到安裝的包、版本和變更日誌。然後,它會將變更日誌cve與國際漏洞資料庫(national vulnerability database,nvd)進行比對。另外的乙個掃瞄器是clair,它被quay.io映象庫和kubernetes社群所採用,用於它們所維護的所有映象的掃瞄。除此之外,還有商業**商比如twistlock,它與各種雲平台實現了整合。
\\ 儘管這個報告討論了映象所存在的風險,但是並沒有提及如何解決它們的細節。其中的一些建議就是在映象的構建過程中安裝包更新、在包執行的時候自動更新以及在映象的構建過程中新增漏洞分析過程。還有乙個建議就是使用alpine linux或類似的分發版本,或者是構建靜態二進位制的映象。
\\檢視英文原文:public docker image vulnerability research findings released
公開倉庫中Docker映象的漏洞分析結果發布
federacy的一名研究人員發布了一項報告,該報告分析了公開倉庫中docker映象的漏洞。24 的映象發現了明顯的漏洞,其中基於ubuntu的映象漏洞最多,而基於debian的映象漏洞最少。這項研究掃瞄了133個公開docker倉庫中的91個,其中每個倉庫都有乙個新增 latest 標記的映象,底...
公開倉庫中Docker映象的漏洞分析結果發布
federacy的一名研究人員發布了一項報告,該報告分析了公開倉庫中docker映象的漏洞。24 的映象發現了明顯的漏洞,其中基於ubuntu的映象漏洞最多,而基於debian的映象漏洞最少。這項研究掃瞄了133個公開docker倉庫中的91個,其中每個倉庫都有乙個新增 latest 標記的映象,底...
Docker映象倉庫 Harbor
docker run net host name cg registry d p 5000 5000 v home docker mnt registry var lib registry registry 2 1 安裝pip wget python get pip.py 2 安裝docker co...