Nesen komanda Docker izsniedza drošības padomu, lai paziņotu par nesankcionētu piekļuvi Docker Hub datu bāzei nenoskaidrota persona. Docker komanda par iejaukšanos, kas ilga tikai īsu laiku, uzzināja 25. gada 2019. aprīlī.
Docker Hub datu bāze atklāja konfidenciālu informāciju aptuveni 190,000 XNUMX lietotāju, ieskaitot jauktus lietotājvārdus un paroles, kā arī marķieri GitHub un Bitbucket krātuvēm, kuru lietošana nav ieteicama trešās puses, varētu apdraudēt kodu krātuvju integritāti.
Saskaņā ar Docker viedokli, datu bāzē esošā informācija ietvēra piekļuves marķierus GitHub un Bitbucket krātuvēm, kuras tiek izmantotas automātiskai kodu apkopošanai Docker Hub, kā arī lietotājvārdus un paroles nelielam lietotāju procentam: 190,000 XNUMX lietotāju kontu Viņi pārstāv mazāk nekā 5% Docker Hub lietotāju.
Patiesībā, Docker Hub saglabātie piekļuves taustiņi GitHub un Bitbucket ļauj izstrādātājiem modificēt savu projekta kodu un automātiski apkopot attēlu Docker Hub.
Skarto personu pieteikumus varētu mainīt
Iespējamais risks 190,000 XNUMX lietotāju, kuru konti tika atklāti, ir tas, ka, ja uzbrucējs iegūst piekļuvi viņu piekļuves pilnvarām, jūs varētu saņemt piekļuvi viņu privātā koda krātuvei, kuru viņi varētu modificēt, pamatojoties uz pilnvarām, kas saglabātas marķierī.
Tomēr, ja kods tiek mainīts nepareizu iemeslu dēļ un ir ieviesti bojāti attēli, tas varētu izraisīt nopietnus piegādes ķēdes uzbrukumuskā Docker Hub attēlus parasti izmanto servera lietojumprogrammās un konfigurācijās.
Piektdienas vakarā ievietotajā drošības padomē Dokers sacīja, ka tas jau ir atsaucis visus marķierus un ekrānā redzamos piekļuves taustiņus.
Docker arī teica, ka tas uzlabo vispārējos drošības procesus un pārskata savu politiku. Viņš arī paziņoja, ka jaunie uzraudzības rīki tagad ir ieviesti.
Tomēr, ir svarīgi, lai izstrādātāji, kuri ir izmantojuši Docker Hub automātisko uzbūvi, pārbaudiet, vai jūsu projekta krātuvēs nav nesankcionētas piekļuves.
Šeit ir Docker piektdienas vakarā ievietotais drošības ieteikums:
Ceturtdien, 25. gada 2019. aprīlī, mēs atklājām nesankcionētu piekļuvi vienai Hub datu bāzei, kurā glabājas lietotāju, kas nav lietotāji, apakškopa. finanšu Pēc atklāšanas mēs ātri rīkojamies, lai iejauktos un aizsargātu vietni.
Mēs vēlamies informēt jūs par to, ko esam uzzinājuši no pašreizējās izmeklēšanas, tostarp par to, kuri Docker Hub konti tiek ietekmēti un kādas darbības lietotājiem jāveic.
To mēs esam iemācījušies:
Īsā laikā nesankcionētas piekļuves laikā Docker Hub datu bāzei, iespējams, tika atklāti sensitīvi dati no aptuveni 190,000 5 kontiem (mazāk nekā XNUMX% Hub lietotāju).
Dati ietver sajauktu lietotājvārdus un paroles nelielam procentam šo lietotāju, kā arī Github un Bitbucket marķierus automātiskai Docker būvēšanai.
Veicamās darbības:
Mēs lūdzam lietotājus mainīt savu paroli Docker Hub un jebkuru citu kontu, kas koplieto šo paroli.
Lietotājiem ar automātiskās izveides serveriem, kuri, iespējams, ir ietekmēti, mēs esam atsaukuši piekļuves atslēgas un marķierus no GitHub un jums tiek piedāvāts atkārtoti izveidot savienojumu ar krātuvēm un pārbaudīt drošības žurnālus lai redzētu, vai ir kāda darbība. Notika neparedzēti notikumi.
Varat pārbaudīt drošības darbības savos GitHub vai BitBucket kontos, lai redzētu, vai pēdējo 24 stundu laikā ir notikusi negaidīta piekļuve.
Tas var ietekmēt jūsu pašreizējās versijas, izmantojot mūsu automatizēto būvēšanas pakalpojumu. Jums var būt nepieciešams atvienot un atkārtoti savienot savu Github un Bitbucket avota nodrošinātāju, piemēram, aprakstīts zemāk esošajā saitē.