研究人员在数百个Docker容器中发现了隐藏的漏洞

Rezilion 发现了数百个 Docker 容器映像的存在安全隐患，其中包含大多数标准漏洞扫描程序和 SCA 工具无法检测到的漏洞。

该研究揭示了数百个流行的容器镜像中隐藏的许多高严重性/严重漏洞，这些镜像的总下载量达数十亿次。这包括具有众所周知漏洞利用的高位漏洞。

已知一些隐藏漏洞在野外被积极利用，并且是CISA已知被利用漏洞目录的一部分，包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。

该研究深入探讨了评估中确定的根本原因之一——无法检测不受包管理器管理的软件组件。

该研究解释了标准漏洞扫描器和SCA工具的固有操作方法如何依赖于从包管理器获取数据以了解扫描环境中存在哪些包，从而使它们容易在部署软件的多个常见场景中丢失易受攻击的软件包以规避这些包管理器的方式。这项研究准确地表明了这种差距有多大，以及它对使用第三方软件的组织的影响。

根据该报告，绕过部署方法的包管理器在Docker容器中很常见。研究团队已经确定了超过100,000个以绕过包管理器的方式部署代码的容器镜像，包括DockerHub的大部分官方容器镜像。如果其中一个组件中的漏洞被识别，这些容器要么已经包含隐藏的漏洞，要么很容易有隐藏的漏洞。

研究人员确定了四种无需与包管理器交互即可部署软件的不同场景，例如应用程序本身、应用程序运行所需的运行时、应用程序工作所需的依赖项以及部署/构建过程所需的依赖项在容器映像构建过程结束时未删除的应用程序的数量，并显示隐藏的漏洞如何找到通往容器映像的途径。

“我们希望这项研究能够让开发人员和安全从业者了解这种差距的存在，以便他们能够采取适当的行动将风险降至最低，并推动供应商和开源项目增加对这些类型场景的支持， ” Rezilion 漏洞研究总监Yotam Perkal说。“重要的是要注意，只要漏洞扫描器和 SCA 工具无法适应这些情况，如果这些组件中的任何一个变得易受攻击，任何以这种方式安装包或可执行文件的容器映像最终都可能包含‘隐藏’漏洞。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4452.html