排行前1000的docker容器中，20%存在root帐户配置错误

在Docker Hub门户中“最受欢迎的Docker容器”排名前1000的Docker容器中约有20％存在帐户错误配置的缺陷，在某些情况下，这些缺陷可能会使用户系统受到远程网络攻击。

上周，当思科Talos研究人员发现过去三年发布的Alpine Linux Docker镜像中都带有一个使用空白的活动的root帐户，这个漏洞被标记为CVE-2019-5021。而在经过一段时间的研究后，有研究人员发现存在类似缺陷的貌似不只存在于Alpine Linux Docker。

Kenna Security的首席安全工程师Jerry Gamblin对整个Docker Hub软件包库中的这类问题进行了深入的研究。

194个潜在危险的DOCKER容器

Gamblin在电子邮件中向ZDNet表示：“我从Docker Hub中取出了前1000个Docker容器，并试图在其中的/etc/shadow文件中查找是否存在root:::0:::::，因为这段字符意味着系统的root帐户处于活动状态，且没有密码”。

最后，他发现了194个Docker镜像带有空白密码的root帐户。

这其中不乏一些来自鼎鼎有名的政府和企业的容器，包括微软，孟山都，HashiCorp，Mesosphere和英国政府。

Gamblin在一篇博客文章中表示：“kylemanna/openvpn是名单上最受欢迎的容器，它的pull数量超过10000000”。

需要明确的是，这种错误配置并不是在任何情况下都会对用户造成安全威胁。正如Alpine Linux团队解释的那样，只有配置为使用Linux PAM [身份验证模块]和/etc/shadow进行身份验证的Linux系统才易受到攻击。

Gamblin告诉ZDNet：“在检查了1000个容器并发现其中20％的容器都含有此错误配置后，我们需要做的第一件事就是告诉任何使用这类容器的用户一定要注意避开这个陷阱，最好能自己修复这个错误配置”。此外，root帐户的存在本身就代表着不安全。

研究人员还在GitHub上发布了这些潜在的易受攻击的Docker容器列表，正在使用这些容器的用户可借此查看一下系统配置，确定是否是受到影响。

“我已经直接与名单上部分公司和个人进行了联系。另外据我所知，Docker Hub暂时无法因为个别容器的配置不当去联系相关的提供者”。

Gamblin最后表示：“我希望我对CVE-2019-5021的研究能够使大家更加重视有关容器维护方面的问题”。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/root-account-misconfigurations-found-in-20-of-top-1000-docker-containers/