【译】流行的Docker镜像Alpine Linux曝严重漏洞,大量基于Alpine的镜像都受此影响

xiannv  393天前

timg.jpg

infosec bod记录了Alpine Linux中的一个远程代码执行漏洞,这是一个在Docker容器中大量使用的发行版。

众测bug赏金系统Bountygraph的研究员和创造者 Max Justicz 周四表示,具有中间人(MITM)网络访问权限或操作恶意包镜像的人可以利用该漏洞通过apk(Alpine的默认包管理器)注入任意代码。

Justicz说这个漏洞特别危险,因为,首先由于它的占地面积小,所以Alpine通常用于Docker图像,其次,大多数软件包apk都没有通过安全的TLS连接提供服务,这使得它们更容易被篡改。

在最糟糕的情况下,攻击者可以在Docker镜像构建期间拦截apk的包请求,向它们注入恶意代码,并将它们传递给目标计算机,目标计算机将在Docker容器中解包并运行代码。

Justicz说,“在Alpine的默认配置中,如果我运行`apk`命令的机器的流量进行MITM中间人攻击,就可以使该机器执行任意代码。即使在我的恶意代码运行之后,我也可以允许Docker构建命令成功。”

“一旦攻击者在已经构建的图像上执行了他们的代码,他们就可以完全控制将来运行该图像的容器。”

漏洞在于apk解压缩档案和处理可疑代码的方式。Justicz发现如果恶意软件可以隐藏在包的commit_hooks目录中,它将逃避清理,然后可以正常执行。

结果将是上游恶意攻击者或网络窃听者可以直接将恶意软件反馈到Docker容器并使其在没有用户通知的情况下运行。此时,攻击者将在受害计算机上运行其代码,从而可能允许对容器或主机系统进行进一步攻击。

最新版本的Alpine已经使用固定版本的apk进行了更新,白帽汇安全研究院提醒大家使用更新的Alpine版本重建Docker镜像。

最新版下载地址:https://www.alpinelinux.org/downloads/

◆来源:https://www.theregister.co.uk/2018/09/15/alpine_linux_bug/

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号