研究人员发现隐藏的漏洞中的数以百计的Docker容器
发布时间:2023-03-06 15:22:24安全新闻0次
Rezilion发现存在数以百计的Docker容器的图像含有漏洞的未检测到的大多数标准的脆弱性的扫描仪和SCA工具。

该研究揭示了许多严重/严重的漏洞隐藏的数百个受欢迎的容器图片,下载数十亿倍集体。 这包括高脆弱性与公众所知的攻击。
一些隐藏的脆弱性被称为是积极地利用在野外的一部分 CISA 已知利用的漏洞的目录,其中包括漏洞-2021-42013,漏洞-2021-41773,漏洞-2019-17558.
研究潜入更深的一个根本原因,确定在评估--由于无法检测软件组件,不管理由包的管理人员。
该研究说明了如何所固有的操作方法的标准的脆弱性的扫描仪和SCA工具依赖于获取数据包经理知道有什么程序包中存在的扫描的环境,使得他们容易受到失踪脆弱的软件包,在多个共同方案中,软件部署的方式,绕过这些软件包的管理人员。 这项研究显示了如何准确广泛的这种差距是影响各组织使用第三方软件。
根据该报告,包的管理人员绕过部署方法都是常见的,在Docker容器。 该研究小组已确定了100 000多名容器的图像,部署码的方式,绕过了包管理人员,其中包括大多数DockerHub的官方容器的图像。 这些容器或者已经包含隐藏的漏洞,或是容易隐藏的漏洞,如果一个脆弱性的这些组成部分是确定的。
研究人员确定了四个不同的方案软件的部署没有相互作用具包的管理人员,例如应用程序本身的运行时所需要的操作应用程序,依赖作为必要的应用程序的工作,并依赖,需要为部署的建立过程中的应用程序,不删除末尾的容器的图像建立过程,并显示了如何隐藏的漏洞,可以找到他们的方式容器的图像。
"我们希望这项研究将教育开发人员和安全人员存在这种差距使得他们能够采取适当行动,以尽量减少风险以及推动供应商和开放源码项目,以支持添加这些类型的方案说," 这Perkal主任、脆弱性研究Rezilion. "重要的是要注意,如脆弱性的扫描仪和SCA工具的不适应这些情况下,任何容器的形象,安装软件包或可执行文件以这种方式最终可能含有"隐藏"的漏洞,如果这些组件的任何变得脆弱。"
- 上一篇:乌克兰国防部等网站被黑,欧美声称:一定是俄罗斯干的
- 下一篇:返回列表