Neseniai „Docker“ paskelbė saugos patarimą, kad paskelbtų apie neteisėtą prieigą prie „Docker Hub“ duomenų bazės nenustatytas asmuo. „Docker“ komanda apie įsibrovimą, kuris truko tik trumpą laiką, sužinojo 25 m. Balandžio 2019 d.
„Docker Hub“ duomenų bazė atskleidė neskelbtiną informaciją apie 190,000 XNUMX vartotojų, įskaitant maišos naudotojų vardus ir slaptažodžius, taip pat „GitHub“ ir „Bitbucket“ saugyklų žetonus, kurių naudojimas nerekomenduojamas trečiosios šalies, gali pakenkti kodų saugyklų vientisumui.
Remiantis „Docker“ nuomone, į duomenų bazės informaciją buvo įtraukti „GitHub“ ir „Bitbucket“ saugyklų prieigos žetonai, kurie naudojami automatiniam „Docker Hub“ kodų kompiliavimui, taip pat naudotojų vardai ir slaptažodžiai yra nedidelis procentas vartotojų: 190,000 XNUMX vartotojų paskyrų Jie sudaro mažiau nei 5% „Docker Hub“ vartotojų.
Iš tikrųjų „Docker Hub“ saugomi „GitHub“ ir „Bitbucket“ prieigos raktai leidžia kūrėjams keisti savo projekto kodą ir automatiškai sukompiliuokite vaizdą į „Docker Hub“.
Nukentėjusiųjų paraiškos galėtų būti pakeistos
Galima rizika 190,000 XNUMX vartotojų, kurių sąskaitos buvo atskleistos, yra tai, kad jei užpuolikas gauna prieigą prie jų prieigos žetonų, galėtumėte gauti prieigą prie jų privataus kodo saugyklos, kurią jie galėtų modifikuoti pagal leidime saugomus leidimus.
Tačiau jei kodas pakeistas dėl neteisingų priežasčių ir buvo pažeisti vaizdai, tai gali sukelti rimtas tiekimo grandinės atakaskadangi „Docker Hub“ vaizdai dažniausiai naudojami serverio programose ir konfigūracijose.
Jūsų saugumo patarime, paskelbtame penktadienio vakarą, Dockeris teigė, kad jis jau atšaukė visus žetonus ir ekrano prieigos raktus.
„Docker“ taip pat teigė, kad pagerina bendruosius saugumo procesus ir peržiūri savo politiką. Jis taip pat paskelbė, kad naujos stebėjimo priemonės jau yra įdiegtos.
Tačiau svarbu, kad kūrėjai, kurie naudojo automatinį „Docker Hub“ kūrimą, patikrinkite, ar jūsų projekto saugyklose nėra neteisėtos prieigos.
Štai saugumo patarimas, kurį penktadienio vakarą paskelbė Dockeris:
25 m. Balandžio 2019 d., Ketvirtadienį, aptikome neteisėtą prieigą prie vienos „Hub“ duomenų bazės, kurioje saugomas ne naudotojų duomenų pogrupis. finansinis Po atradimo mes greitai imamės veiksmų ir saugome svetainę.
Norime pranešti jums, ką sužinojome iš vykstančio tyrimo, įskaitant tai, kurios „Docker Hub“ paskyros paveiktos ir kokius veiksmus vartotojai turi atlikti.
Tai mes sužinojome:
Per trumpą neteisėtos prieigos prie „Docker Hub“ duomenų bazės laikotarpį gali būti atskleisti neskelbtini duomenys iš maždaug 190,000 5 paskyrų (mažiau nei XNUMX% „Hub“ vartotojų).
Duomenys apima maišos naudotojų vardus ir slaptažodžius nedideliam procentui šių vartotojų, taip pat automatinių „Docker“ versijų „Github“ ir „Bitbucket“ žetonus.
Veiksmai, kurių reikia imtis:
Prašome vartotojų pakeisti savo slaptažodį „Docker Hub“ ir bet kurią kitą paskyrą, kuri naudojasi šiuo slaptažodžiu.
Vartotojams, turintiems automatinio sukūrimo serverius, kurie galėjo būti paveikti, mes atšaukėme prieigos raktus ir žetonus iš „GitHub“ ir būsite paraginti iš naujo prisijungti prie saugyklų ir patikrinti saugos žurnalus ar nėra kokių nors veiksmų. Įvyko nenumatyti įvykiai.
Galite patikrinti „GitHub“ arba „BitBucket“ paskyrų saugos veiksmus, kad sužinotumėte, ar per pastarąsias 24 valandas buvo netikėta prieiga.
Tai gali turėti įtakos jūsų dabartinėms versijoms iš mūsų automatinio kūrimo paslaugos. Jums gali tekti atjungti ir iš naujo prijungti savo „Github“ ir „Bitbucket“ šaltinio teikėją aprašyta žemiau esančioje nuorodoje.