您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

廣泛使用的容器應(yīng)用程序存儲(chǔ)庫(kù)是數(shù)據(jù)泄露的受害者

2022-09-02 18:07:22 編輯:黎朋貴 來(lái)源:
導(dǎo)讀 Docker警告數(shù)據(jù)泄露會(huì)影響其Docker Hub存儲(chǔ)庫(kù)的大約190,000個(gè)用戶的容器映像。該漏洞最初是由Docker于4月26日在發(fā)送給Docker Hub用戶的電...

Docker警告數(shù)據(jù)泄露會(huì)影響其Docker Hub存儲(chǔ)庫(kù)的大約190,000個(gè)用戶的容器映像。該漏洞最初是由Docker于4月26日在發(fā)送給Docker Hub用戶的電子郵件中報(bào)告的,揭示了前一天4月25日發(fā)現(xiàn)的數(shù)據(jù)泄露事件.Docker Inc.是開(kāi)源Docker容器背后的主要商業(yè)贊助商使開(kāi)發(fā)人員能夠?qū)?yīng)用程序構(gòu)建,打包和部署為容器的技術(shù)。Docker Hub是Docker用戶的熱門(mén)存儲(chǔ)庫(kù),可以找到可供運(yùn)行的免費(fèi)Docker應(yīng)用程序映像。

“在未經(jīng)授權(quán)訪問(wèn)Docker Hub數(shù)據(jù)庫(kù)的短暫時(shí)間內(nèi),大約有190,000個(gè)帳戶的敏感數(shù)據(jù)可能已暴露(不到5%的Hub用戶),”Docker支持總監(jiān)Kent Lamb在發(fā)送給Docker的電子郵件中寫(xiě)道Hub用戶。“數(shù)據(jù)包括這些用戶中的一小部分用戶名和散列密碼,以及Docker autobuild的GitHub和Bitbucket令牌。”

泊塢樞紐是推出在2014年6月由碼頭工人一起公司公司的泊塢1.0版本。由于DockerCon會(huì)議將于4月30日在舊金山舉行,因此新數(shù)據(jù)泄露事件對(duì)Docker來(lái)說(shuō)尤為不合時(shí)宜。

違反影響

根據(jù)Docker的說(shuō)法,數(shù)據(jù)泄露涉及未經(jīng)授權(quán)訪問(wèn)單個(gè)Docker Hub數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)僅存儲(chǔ)非財(cái)務(wù)用戶數(shù)據(jù)的子集。目前尚不清楚違規(guī)行為是如何發(fā)生的,或者攻擊者可能有多長(zhǎng)時(shí)間未經(jīng)授權(quán)訪問(wèn)。

Docker Hub包含許多不同類型的應(yīng)用程序映像,并被各種用戶使用。Docker在 常見(jiàn)問(wèn)題解答中強(qiáng)調(diào)了沒(méi)有官方應(yīng)用程序圖像被泄露的事件。官方圖片是Docker及其合作伙伴開(kāi)發(fā)的圖片,受益于額外的真實(shí)性和審查。

“我們?yōu)楣俜綀D像制定了額外的安全措施,包括git提交上的GPG簽名以及公證人簽名,以確保每個(gè)圖像的完整性,”Docker說(shuō)。

公證是一種代碼簽名技術(shù),它利用開(kāi)源的更新框架(TUF),它提供多層驗(yàn)證和檢查,以幫助維護(hù)應(yīng)用程序映像及其更新的安全性和真實(shí)性。

這種漏洞對(duì)于開(kāi)發(fā)人員尤為重要,而不僅僅是Docker Hub的常規(guī)用戶。

“對(duì)于所有Docker Hub用戶,不需要采取任何措施來(lái)保護(hù)您的安全,”Docker表示。“密碼重置鏈接已發(fā)送給可能泄露密碼哈希的任何用戶。”

Docker被廣泛用作DevOps工具鏈的一部分,其中在GitHub和Bitbucket上開(kāi)發(fā)的代碼會(huì)定期自動(dòng)構(gòu)建,容器映像會(huì)自動(dòng)部署到Docker Hub,作為構(gòu)建過(guò)程的一部分。

“具有autobuild并且已經(jīng)將GitHub或Bitbucket存儲(chǔ)庫(kù)取消鏈接的用戶將需要重新鏈接這些存儲(chǔ)庫(kù),”Docker說(shuō)。

分析

“這次襲擊可能會(huì)產(chǎn)生相當(dāng)大的影響 - 但現(xiàn)在要知道這一點(diǎn)還為時(shí)尚早,”Twistlock首席技術(shù)官John Morello在一篇博文中寫(xiě)道。“訪問(wèn)Hub帳戶意味著對(duì)repos的讀/寫(xiě)訪問(wèn)權(quán)限,互聯(lián)網(wǎng)上的任何人都可以通過(guò)簡(jiǎn)單的docker pull myrepo / myimage輕松重復(fù)使用。”

Morello補(bǔ)充說(shuō),任何將其帳戶連接到GitHub的Docker Hub用戶都應(yīng)該查看訪問(wèn)權(quán)限以識(shí)別任何潛在的異常情況。

總體而言,Docker建議受影響的用戶:

更改其Docker Hub帳戶密碼。

查看GitHub活動(dòng)。

取消鏈接,然后重新鏈接GitHub訪問(wèn)權(quán)限。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。