टीम ने हाल ही में डॉकर ने डॉकर हब डेटाबेस तक अनधिकृत पहुंच की घोषणा करने के लिए एक सुरक्षा सलाह जारी की किसी अज्ञात व्यक्ति द्वारा. डॉकर टीम को 25 अप्रैल, 2019 को थोड़े समय के लिए हुई घुसपैठ के बारे में पता चला।
डॉकर हब डेटाबेस उपयोगकर्ता नाम और हैश किए गए पासवर्ड सहित लगभग 190,000 उपयोगकर्ताओं की संवेदनशील जानकारी उजागर हुई, साथ ही GitHub और Bitbucket रिपॉजिटरी के लिए टोकन जिनका उपयोग किसी तीसरे पक्ष द्वारा अनुशंसित नहीं है, कोड रिपॉजिटरी की अखंडता से समझौता कर सकता है।
डॉकर की राय के अनुसार, डेटाबेस में जानकारी में गिटहब और बिटबकेट रिपॉजिटरी के लिए एक्सेस टोकन शामिल हैं जिनका उपयोग डॉकर हब पर स्वचालित कोड संकलन के लिए किया जाता है, साथ ही एक छोटे प्रतिशत के लिए उपयोगकर्ता नाम और पासवर्ड भी शामिल हैं। उपयोगकर्ताओं की: 190,000 उपयोगकर्ता खाते वे डॉकर हब उपयोगकर्ताओं के 5% से कम का प्रतिनिधित्व करते हैं।
वास्तव में, डॉकर हब में संग्रहीत GitHub और Bitbucket एक्सेस कुंजियाँ डेवलपर्स को अपने प्रोजेक्ट के कोड को संशोधित करने की अनुमति देती हैं और स्वचालित रूप से डॉकर हब पर छवि बनाएं।
प्रभावित लोगों के आवेदनों में संशोधन किया जा सकता है
संभावित जोखिम उन 190,000 उपयोगकर्ताओं के लिए जिनके खाते उजागर हुए थे, यदि कोई हमलावर उनके एक्सेस टोकन तक पहुंच प्राप्त करता है, वे अपने निजी कोड भंडार तक पहुंच प्राप्त कर सकते हैं जिसे वे टोकन में संग्रहीत अनुमतियों के आधार पर संशोधित कर सकते हैं।
हालाँकि, यदि कोड गलत कारणों से बदल दिया गया है और छेड़छाड़ की गई छवियों को तैनात किया गया है, इससे आपूर्ति श्रृंखला पर गंभीर हमले हो सकते हैं, चूंकि डॉकर हब छवियां आमतौर पर सर्वर कॉन्फ़िगरेशन और एप्लिकेशन में उपयोग की जाती हैं।
शुक्रवार रात पोस्ट की गई उनकी सुरक्षा सलाह में, डॉकर ने कहा कि उसने पहले ही सभी टोकन और स्क्रीन एक्सेस कुंजियाँ रद्द कर दी हैं।
डॉकर ने यह भी कहा कि वह अपनी समग्र सुरक्षा प्रक्रियाओं में सुधार कर रहा है और अपनी नीतियों को संशोधित कर रहा है। उन्होंने यह भी घोषणा की कि अब नए निगरानी उपकरण मौजूद हैं।
हालांकि, यह महत्वपूर्ण है कि डेवलपर्स जिन्होंने डॉकर हब के स्वचालित निर्माण का उपयोग किया है, अनधिकृत पहुंच के लिए अपने प्रोजेक्ट रिपॉजिटरी की जाँच करें।
डॉकर द्वारा शुक्रवार रात को प्रकाशित सुरक्षा सलाह नीचे दी गई है:
गुरुवार, 25 अप्रैल, 2019 को, हमने एकल हब डेटाबेस तक अनधिकृत पहुंच की खोज की जो गैर-उपयोगकर्ता डेटा का एक सबसेट संग्रहीत करता है। वित्तीय। पता चलने पर, हमने हस्तक्षेप करने और साइट को सुरक्षित करने के लिए तुरंत कार्रवाई की।
हम आपको बताना चाहते हैं कि हमने अपनी चल रही जांच से क्या सीखा है, जिसमें कौन से डॉकर हब खाते प्रभावित हैं और उपयोगकर्ताओं को क्या कार्रवाई करने की आवश्यकता है।
हमने यही सीखा है:
डॉकर हब डेटाबेस तक अनधिकृत पहुंच की एक संक्षिप्त अवधि के दौरान, लगभग 190,000 खातों (हब उपयोगकर्ताओं के 5% से कम) से संवेदनशील डेटा उजागर हो सकता है।
डेटा में इन उपयोगकर्ताओं के एक छोटे प्रतिशत के उपयोगकर्ता नाम और हैशेड पासवर्ड, साथ ही डॉकर के स्वचालित बिल्ड के लिए जीथब और बिटबकेट टोकन शामिल हैं।
की जाने वाली कार्रवाई:
हम उपयोगकर्ताओं से डॉकर हब में अपना पासवर्ड बदलने के लिए कहते हैं और कोई भी अन्य खाता जो इस पासवर्ड को साझा करता है।
ऑटोबिल्ड सर्वर वाले उपयोगकर्ताओं के लिए जो प्रभावित हो सकते हैं, हमने GitHub एक्सेस कुंजियाँ और टोकन रद्द कर दिए हैं और आपको अपने रिपॉजिटरी से पुनः कनेक्ट करने और सुरक्षा लॉग की जांच करने के लिए कहा जाता है यह देखने के लिए कि क्या कोई कार्रवाई होती है। अप्रत्याशित घटनाएँ घटीं।
आप यह देखने के लिए अपने GitHub या BitBucket खातों पर सुरक्षा कार्रवाइयों की जांच कर सकते हैं कि क्या पिछले 24 घंटों में कोई अप्रत्याशित पहुंच हुई है।
यह हमारी स्वचालित निर्माण सेवा से आपके वर्तमान निर्माण को प्रभावित कर सकता है। आपको अपने Github और Bitbucket फ़ीड प्रदाता को डिस्कनेक्ट और पुनः कनेक्ट करने की आवश्यकता हो सकती है निम्नलिखित लिंक में वर्णित है।