For nylig holdet af Docker udstedte en sikkerhedsadvisering for at annoncere uautoriseret adgang til en Docker Hub-database af en ukendt person. Docker-teamet blev opmærksom på indtrængen, der kun varede en kort periode den 25. april 2019.
Docker Hub-databasen afsløret følsomme oplysninger for cirka 190,000 brugere, herunder brugernavne og hash-kodede kodeord, samt tokens til GitHub- og Bitbucket-lagrene, hvis brug ikke anbefales af en tredjepart, kan kompromittere integriteten af kodelagrene.
Ifølge Dockers opfattelse omfattede oplysningerne i databasen adgangstokens til GitHub- og Bitbucket-lagrene, der bruges til automatisk kodekompilering på Docker Hub, samt brugernavne og adgangskoder til en lille procentdel af brugerne: 190,000 brugerkonti De repræsenterer mindre end 5 % af Docker Hub-brugere.
Faktisk, GitHub og Bitbucket adgangsnøgler gemt i Docker Hub giver udviklere mulighed for at ændre deres projekts kode og opbygg automatisk billedet på Docker Hub.
Ansøgningerne for de berørte kan blive ændret
Den potentielle risiko for de 190,000 brugere, hvis konti blev afsløret, er, at hvis en angriber får adgang til deres adgangstokens, kunne få adgang til deres private kodelager, som de kunne ændre baseret på tilladelser gemt i tokenet.
Selvom koden ændres af de forkerte årsager, og kompromitterede billeder er blevet implementeret, dette kan føre til alvorlige forsyningskædeangreb, da Docker Hub-billeder almindeligvis bruges i serverkonfigurationer og applikationer.
I deres sikkerhedsrådgivning offentliggjort fredag aften, Docker sagde, at det allerede havde tilbagekaldt alle tokens og skærmadgangsnøgler.
Docker sagde også, at det forbedrer sine overordnede sikkerhedsprocesser og reviderer sine politikker. Han meddelte også, at nye overvågningsværktøjer nu er på plads.
Imidlertid Det er vigtigt, at udviklere som har brugt den automatiske build af Docker Hub, Tjek dine projektlagre for uautoriseret adgang.
Nedenfor er sikkerhedsrådgivningen offentliggjort af Docker fredag aften:
Torsdag den 25. april 2019 opdagede vi uautoriseret adgang til en enkelt Hub-database, der gemmer en delmængde af ikke-brugerdata. finansiel. Efter opdagelsen handlede vi hurtigt for at gribe ind og sikre stedet.
Vi vil gerne fortælle dig, hvad vi har lært af vores igangværende undersøgelse, herunder hvilke Docker Hub-konti, der er berørt, og hvilke handlinger brugerne skal tage.
Dette er, hvad vi har lært:
I løbet af en kort periode med uautoriseret adgang til en Docker Hub-database kan følsomme data fra cirka 190,000 konti (mindre end 5 % af Hub-brugere) være blevet afsløret.
Dataene inkluderer brugernavne og hash-kodeord for en lille procentdel af disse brugere, samt Github- og Bitbucket-tokens til Dockers automatiserede builds.
Handling at tage:
Vi beder brugerne om at ændre deres adgangskode i Docker Hub og alle andre konti, der deler denne adgangskode.
For brugere med autobuild-servere, der kan være blevet påvirket, har vi tilbagekaldt GitHub-adgangsnøgler og -tokens og du bliver bedt om at oprette forbindelse til dine arkiver igen og tjekke sikkerhedslogfilerne for at se, om der er nogen handling. Uforudsete hændelser indtraf.
Du kan tjekke sikkerhedshandlingerne på dine GitHub- eller BitBucket-konti for at se, om der har været nogen uventet adgang inden for de sidste 24 timer.
Dette kan påvirke dine nuværende builds fra vores automatiserede build-tjeneste. Du skal muligvis afbryde og tilslutte din Github- og Bitbucket-feedudbyder som beskrevet i følgende link.