Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (111)
  • добавить в избранное
    Добавить в закладки

Твой образ милый и… дырявый

Прочитали: 3007 Комментариев: 54 Рейтинг: 73

«Антивирусная правДА!» однажды уже рассказывала о проблемах безопасности модной платформы Docker. Напомним, что Docker позволяет запускать приложения в изолированном окружении. То есть, грубо говоря, приложение вызывает нужные ему для работы библиотеки и иные ресурсы, и не обращается к системным ресурсам. Это очень удобно, например, для запуска приложения, если оно работает только с определенной версией какой-то библиотеки, не требующейся другим приложениям. Можно запускать устаревшие приложения, в том числе имеющие нужный пользователю функционал, удаленный в более поздних версиях.

В среднем контейнеры по сравнению с виртуальными машинами гораздо более многочисленны. Они легковесны, что позволяет запустить множество контейнеров даже на весьма скромном железе.

https://habr.com/ru/company/southbridge/blog/339126

И в этом плюсе кроется минус: устаревшие приложения и ресурсы имеют незакрытые уязвимости, и злоумышленники могут через них проникать в систему.

В Интернете можно найти немало Docker-образов, которые делают всевозможные полезные и классные вещи, но если вы загружаете образы без использования каких-либо механизмов доверия и проверки подлинности, вы по сути запускаете на своих системах произвольное ПО.

  • Откуда был загружен этот образ?
  • Доверяете ли вы его создателям? Какие политики безопасности они используют?
  • Есть ли у вас объективное криптографическое доказательство того, что образ был действительно создан этими людьми?
  • Вы уверены, что никто не изменил образ после того, как он был загружен?

https://habr.com/ru/company/southbridge/blog/339126

Плюс к этому платформа Docker это не полнофункциональная система виртуализации, когда для работы приложения используется полноценная операционная система. Нет, при использовании Docker все приложения работают в одной ОС, хотя и не имеют доступа к ее файлам. Точнее, раньше не имели.

Уязвимость, получившая идентификационный номер CVE-2019-5736, даёт заражённому контейнеру возможность перезаписать исполняемый файл runC на хосте и получить к нему root-доступ. Это позволяет такому контейнеру получить контроль над хостом и даёт атакующему возможность выполнять любые команды.

https://habr.com/ru/company/ruvds/blog/440096

Но присмотримся к новости: речь идет о «зараженном контейнере». В выпуске об Облаке Dr.Web мы показали, что обычный антивирус, установленный на сервере, где запускаются образы, отлично обнаруживает в них вредоносные программы. Получается, что проблема вновь не в уязвимостях, а в том, что администраторы серверов не используют средства антивирусной защиты.

#сервер #антивирус #корпоративная_безопасность #уязвимость #эксплойт

Dr.Web рекомендует

  1. Уязвимости были, есть и будут, поэтому использовать антивирус критически важно в целях безопасности.
  2. Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования.
  3. Устанавливайте обновления, в том числе и для компонентов Docker.
  4. Настройте ограничение прав. Запускаемые образы не должны иметь права доступа к ресурсам системы.

    Термин «выход за пределы контейнера» (container breakout) используется для обозначения ситуации, при которой какой-либо программе, запущенной внутри Docker-контейнера, удается преодолеть механизмы изоляции и получить дополнительные привилегии или доступ к конфиденциальной информации на хосте. Для предотвращения подобных прорывов используется уменьшение количества привилегий контейнера, выдаваемых ему по умолчанию. Например, демон Docker по умолчанию выполняется под рутом, однако существует возможность создать пользовательское пространство имен (user-level namespace) или снять потенциально опасные привилегии контейнера.

    https://habr.com/ru/company/southbridge/blog/339126

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: