Nedávno tím Spoločnosť Docker vydala bezpečnostné odporúčanie, aby oznámila neoprávnený prístup k databáze Docker Hub neidentifikovanou osobou. Tím Docker si bol vedomý vniknutia, ktoré trvalo len krátke obdobie, 25. apríla 2019.
Databáza Docker Hub vystavil citlivé informácie pre približne 190,000 XNUMX používateľov vrátane hašovaných používateľských mien a hesiel, ako aj tokeny pre úložiská GitHub a Bitbucket, ktorých použitie, ktoré neodporúča tretia strana, by mohlo narušiť integritu úložísk kódov.
Podľa Dockerovho názoru obsahovali informácie v databáze prístupové tokeny pre úložiská GitHub a Bitbucket, ktoré sa používajú na automatickú kompiláciu kódu v Docker Hub, ako aj používateľské mená a heslá s malým percentom používateľov: 190,000 XNUMX používateľských účtov Predstavujú menej ako 5% používateľov Docker Hub.
V skutočnosti Prístupové kľúče GitHub a Bitbucket uložené v Docker Hub umožňujú vývojárom upraviť svoj kód projektu a automaticky skompilovať obrázok do Docker Hub.
Aplikácie dotknutých osôb mohli byť upravené
Potenciálne riziko pre 190,000 XNUMX používateľov, ktorých účty boli odhalené, je to, že ak útočník získa prístup k svojim prístupovým tokenom, môžete získať prístup k ich súkromnému úložisku kódov, ktoré môžu upraviť na základe povolení uložených v tokene.
Ak sa však kód zmení z nesprávnych dôvodov a implementovali sa poškodené obrázky, mohlo by to viesť k vážnym útokom na dodávateľský reťazecobrázky Docker Hubu sa bežne používajú v serverových aplikáciách a konfiguráciách.
Vo vašom bezpečnostnom odporúčaní zverejnenom v piatok večer, Docker uviedol, že už zrušil všetky tokeny a prístupové kľúče na obrazovke.
Docker tiež uviedol, že vylepšuje svoje celkové bezpečnostné procesy a kontroluje svoje politiky. Oznámil tiež, že nové monitorovacie nástroje sú už zavedené.
Avšak, je dôležité, aby vývojári, ktorí použili automatické zostavenie Docker Hubu, skontrolujte, či v úložiskách projektu nie je neoprávnený prístup.
Toto je bezpečnostné odporúčanie, ktoré zverejnil Docker v piatok večer:
Vo štvrtok 25. apríla 2019 sme zistili neoprávnený prístup k jednej databáze Hub, ktorá uchováva podmnožinu údajov, ktoré nepoužívajú používatelia. finančné Po objavení konáme rýchlo, aby sme zasiahli a zabezpečili web.
Chceme vám dať vedieť, čo sme sa dozvedeli z nášho prebiehajúceho vyšetrovania, vrátane toho, ktoré účty Docker Hub sú ovplyvnené a aké akcie by mali používatelia vykonať.
Toto sme sa naučili:
Počas krátkeho obdobia neoprávneného prístupu k databáze Docker Hub mohli byť vystavené citlivé údaje z približne 190,000 5 účtov (menej ako XNUMX% používateľov Hubu).
Údaje zahŕňajú hašované používateľské mená a heslá malého percenta týchto používateľov, ako aj tokeny Github a Bitbucket pre automatické vytváranie Dockerov.
Opatrenie, ktoré treba podniknúť:
Žiadame používateľov, aby si zmenili heslo v Docker Hub a akýkoľvek iný účet, ktorý zdieľa toto heslo.
Pre používateľov so servermi automatického vytvárania, ktoré mohli byť ovplyvnené, sme odvolali prístupové kľúče a tokeny z GitHubu a zobrazí sa výzva, aby ste sa znova pripojili k svojim úložiskám a skontrolovali bezpečnostné protokoly či sú nejaké kroky. Nastali nepredvídané udalosti.
Môžete skontrolovať bezpečnostné akcie na svojich účtoch GitHub alebo BitBucket a zistiť, či za posledných 24 hodín nedošlo k neočakávanému prístupu.
To môže mať vplyv na vaše súčasné zostavenia z našej automatizovanej služby zostavovania. Možno budete musieť odpojiť a znova pripojiť svojho poskytovateľa zdrojov, napríklad Github a Bitbucket popísané v odkaze nižšie.