باگ امنیتی در Docker وراه‌حل آن


باگ امنیتی داکر

یک باگ جدید در تمام نسخه‌های  Docker  پیدا شده‌است که می‌تواند به مهاجم اجازه دسترسی به میزبان را بدهد و ویرانی بیشتری را به بار آورد . این باگ  “CVE – 2018 – 15664” نام گذاری شده که  اجرای دستور <<docker cp>> در Docker زمینه‌ساز آن است.

این باگ هفته پیش  توسط  Aleksa Sarai ” کشف شد و وی بیان کرد که ” تا آنجایی که من می‌دانم هیچ دفاعی در برابر این نوع حمله وجود ندارد.”

با اجرای  دستور <<docker cp>>، کدها از فایل سیستم محلی کانتینربه فایل سیستم محلی ماشین میزبان کپی می‌شوند و مهاجمان می‌توانند بر روی فایل سیستم میزبان دسترسی خواندن ونوشتن (توسط کاربر root) داشته باشند . متاسفانه Docker نمی‌تواند فایل‌های(ساخته شده توسط کانتینر‌ها) موجود در فایل سیستم را بلوکه کرده و مانع از تغییر آن شود.

گفتنی است که احتمال حمله، فقط در صورتی امکان‌پذیر خواهد بود که کاربر به منظور کپی گرفتن از اطلاعات خود از دستور <<docker cp>> استفاده کند و کپی در چند ثانیه صورت می‌گیرد و اما زمینه حمله پس از آن ایجاد می‌شود.

به عنوان یک اقدام کوتاه‌مدت،کاربران می‌توانند به طور دستی به این مساله رسیدگی کنند .  نسخه ماه بعد با قرار دادن <<docker pause >> قبل از  فرمان <<docker cp>> تغییر خواهد داد و کانتینر در زمانی که یک کپی از آن ساخته می‌شود، فریز شده و از اصلاح داده‌ها جلوگیری می‌کند .

گفتنی است که ماه پیش docker Hub و مخزن کانتینر داکر مورد حمله مهاجمان قرار گرفتند.

منبع

t.me/SDNCentral

 

(1) دیدگاه

  • Avatar
    جنت مکان پاسخ

    پست جالبی بود / از وقتی که برای نوشتن این پست گذاشتید از شما تشکر میکنم

     
    ۱۰ خرداد ۱۳۹۸ در ۵:۰۹ ب.ظ

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *