公司动态

数百个流行开源容器中隐藏的关键漏洞

数百个流行开源容器中隐藏的关键漏洞

点击: 2

Docker容器中的隐性漏洞研究

关键要点

研究发现了众多容器镜像中的严重漏洞,这些漏洞未被大多数扫描工具检测到。Rezilion的研究揭示超过100000个Dockerfiles中存在或可能隐藏漏洞。相关漏洞已经在实际中被利用,包含多个CVE编号。Docker正采取措施提高对已知漏洞的透明度和识别能力。

最近的研究显示,数百个流行的容器镜像中隐藏着众多关键和高严重性漏洞,这些漏洞在被下载数十亿次后,仍未被大多数漏洞扫描器和软件构成分析(SCA)工具发现。

Rezilion的新研究,《暴露在光天化日之下:流行开源容器中的隐性漏洞》指出,超过100000个Dockerfiles在Docker容器中存在或易受隐性漏洞的影响。值得注意的是,其中一些已在CISA的已知利用漏洞目录中被确认,例如 CVE202142013 CVE202140438 CVE202141773

数百个流行开源容器中隐藏的关键漏洞

大多数标准漏洞扫描器和SCA工具在识别存在的包时严重依赖包管理器,因此进行分析。然而,Docker容器是软件安装绕过包管理器的场所之一,这使得许多扫描器和工具在检测易受攻击的包时变得困难,Rezilion的漏洞研究主管Yotam Perkal表示。

Perkal没有列出所有在此任务上失效的具体工具,但他告诉SC媒体,几乎所有领先的商业漏洞扫描器和SCA工具,包括DockerHub自己的漏洞扫描,都面临同样的挑战。

Docker发言人David Oro在电子邮件中表示,公司意识到这一风险,并在持续努力解决这个问题。他提到:“恶意行为者利用公共资源对开发者社区构成了重大问题,软件开发人员应对此保持警惕。这种情况在GitHub仓库、npm包,甚至Chrome扩展中都在发生。Docker Hub作为行业标准,在每周获得数十亿次下载的容器镜像中也不例外。”

安易加速app官网入口

根据Oro的说法,Docker的缓解措施包括展示软件材料清单,并整合Atomist到平台中,以更好地通知开发者有关镜像中的软件组件和已知漏洞的信息。

尽管这项研究集中在Docker容器上,Perkal强调,隐性漏洞现象可能适用于任何一种通过相关包管理器绕过部署方法的计算环境。他表示:“只要漏洞扫描器和SCA工具无法适应这些情况,任何以这种方式部署包或可执行文件的容器镜像都可能最终包含隐性漏洞,若其中的任何组件变得脆弱。”

为了减轻安全风险,Perkal建议开发者要意识到这个问题,并尽量在安装必需的软件组件时不绕过相关包管理器。同时,他还呼吁安全供应商和开源项目投入时间和资源,关闭检测空白,以最小化风险。他指出,这些空白“在所有检查的工具中都存在。”

由开源安全基金会主导的项目AlphaOmega也在努力构建和完善工具,以帮助开源社区的开发者检测更广范围的关键漏洞,并尽量降低误报率。

报告揭示了主要的开源安全风险 媒体

英国皇家邮政被LockBit勒索软件集团攻破 媒体
安易加速器下载正版

安易官网提供全球连线解决方案,轻松实现一键加速,顺畅连接无障碍,提升上网体验,值得信赖的选择。

导航
最新咨询
咨询安易加速app官网入口