关于 Alpine Docker 镜像漏洞 CVE-2019-5021
关于 CVE-2019-5021 带来的一点思考。linux
本周比较吓人的是 CVE-2019-5021, 根据漏洞报告,自 Alpine Linux 3.3 版本开始的全部 Docker 镜像中,root 用户包含一个空密码,这可能会致使攻击者得到 root 权限,今儿形成攻击。docker
报告中称:受影响范围是 Alpine Linux Docker 镜像 3.三、3.四、3.五、3.六、3.七、3.八、3.九、edge 等所有版本。安全
要知道因为 Alpine Linux 镜像体积较小,因此在构建 Docker 镜像时,不少人都会推荐使用 Alpine Linux 做为基础镜像;包括不少 Docker 官方镜像也基本上都提供了基于 Alpine Linux 的镜像,甚至像 Docker 镜像等,是只提供了使用 Alpine Linux 做为基础镜像的版本。bash
报告一出,瞬间这个消息就被传播成了 “Alpine Linux Docker 镜像不安全”/“不要再使用 Alpine Linux 了”。固然 Google 的开发者也顺便推了一次自家的 distroless 镜像。less
咱们来看一下 CVE-2019-5021 究竟是什么以及如何复现吧。工具
CVE-2019-5021
(MoeLove) ➜ ~ docker run --rm -it alpine:3.9
/ # grep root /etc/passwd
root:x:0:0:root:/root:/bin/ash
operator:x:11:0:operator:/root:/bin/sh
/ # grep root /etc/shadow
root:::0:::::
/ #
复制代码
以上是一个 alpine:3.9 的镜像,咱们分别来看它的 /etc/passwd 和 /etc/shadow 文件,很明显,此刻 root 用户是一个空密码;并不符合预期。这样也就致使了被攻击的可能性。咱们来看下如何复现攻击以及修复。ui
复现
先来看下如何复现, 编写以下的 Dockerfilespa
FROM alpine:3.9
RUN apk add --no-cache shadow
RUN adduser -S moelove
USER moelove
复制代码
用 docker build -t local/alpine:cve . 构建镜像,接下来复现:code
(MoeLove) ➜ cve docker run --rm -it local/alpine:cve
/ $ id
uid=100(moelove) gid=65533(nogroup) groups=65533(nogroup)
/ $ whoami
moelove
/ $ su -
4a5cc376be74:~#
4a5cc376be74:~# whoami
root
4a5cc376be74:~# grep root /etc/passwd /etc/shadow
/etc/passwd:root:x:0:0:root:/root:/bin/ash
/etc/passwd:operator:x:11:0:operator:/root:/bin/sh
/etc/shadow:root:::0:::::
复制代码
能够看到成功使用普通用户获取的 root 权限。cdn
修复
当前官方镜像已经修复,可直接更新对应镜像
或是
在 Dockerfile 中增长下面这行:
RUN sed -ie 's/^root::/root:!:/' "$rootfs/etc/shadow"
复制代码
对应于刚才容器内的操做即是:
4a5cc376be74:~# sed -ie 's/^root::/root:!:/' /etc/shadow
4a5cc376be74:~# grep root /etc/passwd /etc/shadow
/etc/passwd:root:x:0:0:root:/root:/bin/ash
/etc/passwd:operator:x:11:0:operator:/root:/bin/sh
/etc/shadow:root:!::0:::::
4a5cc376be74:~# / $ su -
Password:
su: Authentication failure
/ $ whoami
moelove
复制代码
思考
这个“漏洞” (姑且称之为漏洞吧),是在 5 月 9 日被公布,网上的讨论其实有些言过其实。
自己这个问题若是想要成为攻击点,其中一种方式是须要安装 shadow 和 linux-pam 替代 Alpine Linux 默认的 BusyBox 工具链。而在 Docker 镜像中安装 shadow 的可能性其实很小(最起码我暂时没想到我会主动在镜像中安装 shadow 的状况)。
在我看来,这个问题是对于默认镜像来讲,问题存在,可是几乎没有触发的可能, 必需要具有上面提到的特定条件。(固然也还有另外一种可能,这里不赘述了)
另外,受影响的镜像,大多其实已经 EOL 再也不进行维护了。这也同时提醒咱们及时升级依赖很是重要。
此外,关于这是否是一个漏洞的讨论其实不少,关注点在于说这些漏洞触发都是人为操做/扩展来形成的,这个事情我不想聊太多,由于即便对于其余的 Linux 发行版来讲,也有不少方式能形成被攻击之类的,那这种状况算是 Linux 漏洞 仍是算其余的呢?
就先聊到这儿吧。请及时更新/修复 Alpine 相关镜像。
能够经过下面二维码订阅个人文章公众号【MoeLove】
- 1. 镜像漏洞扫描工具Trivy
- 2. DockerXScan——Docker镜像漏洞扫描器
- 3. Easypack:基于Alpine的Oracle的JDK镜像
- 4. docker Alpine部署LNMP +FTP 超小镜像
- 5. alpine-bash镜像制做
- 6. 使用 Docker Alpine 镜像安装 nginx
- 7. 基于 Alpine 基础镜像构建 H2 Database 镜像
- 8. alpine镜像添加zh_CN.utf8
- 9. docker镜像中的Alpine安装nodejs
- 10. docker Alpine(简洁型)镜像的使用
- 更多相关文章...
- • Docker 镜像加速 - Docker教程
- • Docker 镜像使用 - Docker教程
- • NewSQL-TiDB相关
- • Docker 清理命令
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问