Hiljuti meeskond Docker andis välja turvanõuande, et teatada volitamata juurdepääsust Docker Hubi andmebaasile tuvastamata isiku poolt. Dockeri meeskond sai teada sissetungist, mis kestis vaid lühikest aega, 25. aprillil 2019.
Docker Hubi andmebaas paljastas umbes 190,000 XNUMX kasutaja jaoks tundlikku teavet, sealhulgas räsitud kasutajanimed ja paroolid, samuti GitHubi ja Bitbucketi hoidlate märgid, mille kasutamine, mida kolmas osapool ei soovita, võib kahjustada koodihoidlate terviklikkust.
Dockeri arvamuse kohaselt sisaldas andmebaasis sisalduv teave GitHubi ja Bitbucketi hoidlate juurdepääsulubasid, mida kasutatakse Docker Hubis koodide automaatseks kompileerimiseks, samuti kasutajanimesid ja paroole väikese protsendi kasutajatega: 190,000 XNUMX kasutajakontot Nad esindavad vähem kui 5% Docker Hubi kasutajatest.
Tegelikult Docker Hubis salvestatud GitHubi ja Bitbucketi juurdepääsuvõtmed võimaldavad arendajatel oma projekti koodi muuta ja kompileerige pilt automaatselt Docker Hubis.
Mõjutatud inimeste rakendusi sai muuta
Võimalik risk 190,000 XNUMX kasutaja jaoks, kelle kontod olid avatud, on see, et kui ründaja saab juurdepääsu nende juurdepääsulubadele, võiksite saada juurdepääsu nende privaatsete koodide hoidlale, mida nad saaksid muuta märgis salvestatud õiguste põhjal.
Kui aga koodi muudetakse valedel põhjustel ja rikutud pildid on rakendatud, see võib viia tõsiste tarneahelate rünnakutenikuna Docker Hubi pilte kasutatakse tavaliselt serverirakendustes ja konfiguratsioonides.
Reede õhtul postitatud turvanõuandes Docker ütles, et see on juba kõik märgid ja ekraanil kuvatud juurdepääsuvõtmed tühistanud.
Docker ütles ka, et parandab oma üldisi turvaprotsesse ja vaatab üle oma poliitikad. Ta teatas ka, et uued seirevahendid on nüüd paigas.
Kuid on oluline, et arendajad, kes on kasutanud Docker Hubi automaatset ehitust, kontrollige oma projekti hoidlates lubamatut juurdepääsu.
Siin on Dockeri reede õhtul postitatud turvanõuanded:
Neljapäeval, 25. aprillil 2019 avastasime volitamata juurdepääsu ühele Hubi andmebaasile, mis salvestab mittekasutajate andmete alamhulka. rahaline Avastamise korral tegutseme kiiresti, et sekkuda ja sait kaitsta.
Soovime teile teada anda, mida oleme käimasoleva uurimise käigus õppinud, sealhulgas milliseid Docker Hubi kontosid see mõjutab ja milliseid toiminguid peaksid kasutajad tegema.
Seda oleme õppinud:
Lühikese aja jooksul ilma volitamata juurdepääsuta Docker Hubi andmebaasile võidakse kokku puutuda tundlike andmetega umbes 190,000 5 kontolt (vähem kui XNUMX% Hub'i kasutajatest).
Andmed hõlmavad väikese osa nende kasutajate räsitud kasutajanimesid ja paroole, samuti Dockeri automaatsete järkude jaoks mõeldud Githubi ja Bitbucketi märke.
Võimalik toiming:
Palume kasutajatel Docker Hubis oma parooli muuta ja mis tahes muu konto, mis seda parooli jagab.
Automaatse ehitamise serveritega kasutajatele, keda see võib mõjutada, oleme GitHubi märgid ja pääsuvõtmed tühistanud ja teil palutakse ühendust oma hoidlatega uuesti ühendada ja turbelogisid kontrollida et näha, kas midagi on tehtud. Juhtusid ettenägematud sündmused.
Saate kontrollida oma GitHubi või BitBucketi kontode turvatoiminguid, et näha, kas viimase 24 tunni jooksul on olnud ootamatut juurdepääsu.
See võib mõjutada teie praeguseid järke meie automatiseeritud ehitusteenusest. Võimalik, et peate oma allikapakkuja Githubi ja Bitbucketi sarnased ühendused lahti ühendama kirjeldatud allpool lingil.