Pred kratkim je ekipa Docker je izdal varnostno opozorilo, da napove nepooblaščen dostop do baze podatkov Docker Hub s strani neznane osebe. Ekipa Dockerja je 25. aprila 2019 spoznala vdor, ki je trajal le kratek čas.
Podatkovna baza Docker Hub izpostavil občutljive podatke za približno 190,000 uporabnikov, vključno z zgoščenimi uporabniškimi imeni in gesli, kot tudi žetoni za repozitoriji GitHub in Bitbucket, katerih uporaba, ki je ne priporoča tretja oseba, lahko ogrozi celovitost repozitorijev kod.
Po mnenju Dockerja so informacije v zbirki podatkov vključevale žetone za dostop do repozitorijev GitHub in Bitbucket, ki se uporabljajo za samodejno zbiranje kod v Docker Hub, ter uporabniška imena in gesla v majhnem odstotku uporabnikov: 190,000 uporabniških računov Predstavljajo manj kot 5% uporabnikov Docker Hub.
Pravzaprav Dostopna ključa GitHub in Bitbucket, shranjena v Docker Hub, razvijalcem omogočata spreminjanje svoje projektne kode in samodejno zbere sliko v Docker Hub.
Aplikacije prizadetih bi lahko spremenili
Potencialno tveganje za 190,000 uporabnikov, katerih računi so bili izpostavljeni, je, če napadalec dobi dostop do svojih žetonov za dostop, lahko bi dobili dostop do njihovega zasebnega skladišča kod, ki bi ga lahko spreminjali na podlagi dovoljenj, shranjenih v žetonu.
Če pa se koda spremeni iz napačnih razlogov in so bile uporabljene ogrožene slike, to bi lahko privedlo do resnih napadov na dobavno verigokot Docker Hub slike se pogosto uporabljajo v strežniških aplikacijah in konfiguracijah.
V vašem varnostnem nasvetu, objavljenem v petek zvečer, Docker je dejal, da je že preklical vse žetone in zaslonske tipke za dostop.
Docker je še dejal, da izboljšuje splošne varnostne procese in pregleduje svoje politike. Napovedal je tudi, da so nova orodja za spremljanje zdaj na voljo.
Vendar pa pomembno je, da razvijalci, ki so uporabljali samodejno izdelavo Docker Hub, preverite, ali so v skladiščih vaših projektov nepooblaščen dostop.
Tu je varnostno obvestilo, ki ga je v petek zvečer objavil Docker:
V četrtek, 25. aprila 2019, smo odkrili nepooblaščen dostop do ene baze podatkov Hub, ki hrani podmnožico ne-uporabniških podatkov. finančni Po odkritju hitro ukrepamo in zaščitimo spletno mesto.
Želimo vas obvestiti, kaj smo se naučili iz naše tekoče preiskave, vključno s tem, kateri računi Docker Hub so prizadeti in kakšne ukrepe naj sprejmejo uporabniki.
To smo se naučili:
V kratkem obdobju nepooblaščenega dostopa do baze podatkov Docker Hub so bili morda izpostavljeni občutljivi podatki iz približno 190,000 računov (manj kot 5% uporabnikov Hub-a).
Podatki vključujejo zgoščena uporabniška imena in gesla majhnega odstotka teh uporabnikov ter žetone Github in Bitbucket za samodejne gradnje Dockerja.
Ukrepi:
Uporabnike prosimo, da spremenijo geslo v Docker Hub in kateri koli drug račun, ki si deli to geslo.
Uporabnikom s strežniki za samodejno izdelavo, ki so morda prizadeti, smo preklicali dostopne ključe in žetone iz GitHub-a in pozvani boste, da se znova povežete s svojimi skladišči in preverite varnostne dnevnike če želite preveriti, ali obstaja kakšen ukrep. Zgodili so se nepredvideni dogodki.
Preverite lahko varnostna dejanja v svojih računih GitHub ali BitBucket, ali je v zadnjih 24 urah prišlo do nepričakovanega dostopa.
To lahko vpliva na vaše trenutne gradnje iz naše avtomatizirane storitve gradnje. Morda boste morali odklopiti in znova povezati svojega izvornega ponudnika Github in Bitbucket, kot je opisano v spodnji povezavi.