一级a性色生活片久久无,国产91在线播放,中国性猛交XXXX富婆,亚洲夜夜性夜综合久久

數(shù)百個Docker容器鏡像中隱藏漏洞,下載量高達(dá)數(shù)十億次

2023年02月25日

Rezilion發(fā)現(xiàn)了數(shù)百個Docker容器鏡像的存在,這些鏡像包含了大多數(shù)標(biāo)準(zhǔn)漏洞掃描器和SCA工具都沒有檢測到的漏洞。

研究發(fā)現(xiàn),數(shù)百個Docker容器鏡像中隱藏著許多高危險性/關(guān)鍵性的漏洞,這些容器鏡像的下載量合計達(dá)數(shù)十億次。其中包括已被公開的高知名漏洞。

一些隱藏的漏洞在野外被積極利用,這些漏洞是CISA已知被利用漏洞合集中的一部分,包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。

經(jīng)過研究發(fā)現(xiàn)漏洞存在的根本原因是無法檢測未被軟件包管理器管理的軟件組件。

該研究解釋了標(biāo)準(zhǔn)漏洞掃描器和SCA工具的固有操作方法是如何依靠從軟件包管理器獲取數(shù)據(jù)來了解掃描環(huán)境中存在哪些軟件包的,這使得它們?nèi)菀自诙喾N常見情況下遺漏易受攻擊的軟件包,即軟件的部署方式規(guī)避了這些軟件包管理器。

根據(jù)該報告,規(guī)避部署方式的軟件包管理器在Docker容器中很常見。研究小組已經(jīng)發(fā)現(xiàn)了超過10萬個以繞過軟件包管理器的方式部署代碼的容器鏡像,包括DockerHub的大多數(shù)官方容器鏡像。這些容器要么已經(jīng)包含隱藏的漏洞,要么在其中一個組件的漏洞被發(fā)現(xiàn)后容易出現(xiàn)隱藏的漏洞。

研究人員確定了四種不同的情況,在這些情況下,軟件的部署沒有與軟件包管理器進(jìn)行交互,如應(yīng)用程序本身、應(yīng)用程序所需的運(yùn)行、應(yīng)用程序工作所需的依賴性,以及在容器鏡像構(gòu)建過程結(jié)束時沒有刪除的應(yīng)用程序部署,并展示了隱藏的漏洞如何找到容器鏡像。

"我們希望這項(xiàng)研究能讓開發(fā)者和安全從業(yè)者了解這一漏洞的存在,這樣他們就能采取適當(dāng)?shù)男袆觼頊p少風(fēng)險,并推動供應(yīng)商和開源項(xiàng)目增加對這些類型場景的支持,"Rezilion公司漏洞研究部主任Yotam Perkal說。"

最后需要提醒大家的是,只要漏洞掃描程序和SCA工具無法適應(yīng)這些情況,任何以這種方式安裝軟件包或可執(zhí)行文件的容器映像最終都可能包含'隱藏'漏洞。

來源:FreeBuf.COM


江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com