image

Microsoft-noodpatch om Docker voor Windows te beschermen

donderdag 3 mei 2018, 13:55 door Redactie, 10 reacties

Microsoft heeft een noodpatch uitgebracht om Docker voor Windows-installaties tegen aanvallen te beschermen. Door het importeren van een kwaadaardige Docker-image was het mogelijk om willekeurige code op het onderliggende systeem uit te voeren. De kwetsbaarheid bevond zich in de Windows Host Compute Service Shim-library, waar Docker voor Windows gebruik van maakt.

Om de kwetsbaarheid uit te buiten zou een aanvaller een kwaadaardige Docker-container moeten maken. Als vervolgens een geauthenticeerde beheerder deze container zou importeren, was het mogelijk om het onderliggende Windows-systeem over te nemen. De kwetsbaarheid werd ontdekt door onderzoeker Michael Hanselmann. Hij waarschuwde zowel Microsoft als Docker in februari van dit jaar. Volgens Hanselmann heeft Microsoft de eigen hostinginfrastructuur inmiddels gepatcht, alsmede Microsoft-partners zoals Google. Op 9 mei zal de onderzoeker een proof-of-concept exploit voor Docker voor Windows uitgeven. Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen.

Reacties (10)
03-05-2018, 17:39 door Krakatau
Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen.

Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
03-05-2018, 20:08 door Anoniem
Door Krakatau:
Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen.

Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker

Docker maakt onderdeel uit van containerization en kan gebruikt worden als alternatief voor VM's.Dit met als voordeel het dynamisch/snel up-scalen van bijvoorbeeld webservers en andere applicaties die in een container gehost worden. De omschrijving "is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen" komt meer neer op CI/CD software zoals Jenkins.
04-05-2018, 00:18 door Anoniem
Het zou interessant zijn om erachter te komen of je over het algemeen makkelijker uit Docker breekt dan meer traditionele VM's.
04-05-2018, 06:05 door karma4
Door Krakatau:
Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen.

Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
Als je applicatie zelf cgroups nodig heeft omdat het uit veld lagen met services clusteted van opzet is en multi user is gaat het hem niet worden met docker.

Het is juist om van de afhankelijkheid van onderhoud beheer door os mensen af te komen dat een Docker applicatie zo'n succes is. Je kunt de Docker container als "de applicatie" zien.
04-05-2018, 11:40 door Anoniem
Door Anoniem: Het zou interessant zijn om erachter te komen of je over het algemeen makkelijker uit Docker breekt dan meer traditionele VM's.

Ja dat is zo, simpelweg omdat containers zoals Docker (applicatie virtualisatie) maar ook OpenVZ (OS virtualisatie) meer software matige functies delen met het host OS. Dit in tegenstelling to VM's (hardware virtualisatie), waarin wel overigens ook nog een verschil zit tussen paravitualisatie en volledige virtualisatie.
04-05-2018, 12:30 door Krakatau
Door karma4:
Door Krakatau:
Docker is een platform waarmee het mogelijk is om applicaties te bouwen, testen en uit te rollen.

Dat doet Docker geen recht: http://computerworld.nl/cloud/84263-wat-is-docker
Als je applicatie zelf cgroups nodig heeft omdat het uit veld lagen met services clusteted van opzet is en multi user is gaat het hem niet worden met docker.

Goed... In de echte wereld is Docker razend populair en dat gaat volgens (echte) deskundigen alleen maar toenemen:

Indeed, James Turnbull, then Docker's VP of services and support, told me at the conference that three of its largest beta bank customers were moving it into production. That's a heck of a confident move for any 1.0 technology, but it's almost unheard of in the safety-first financial world.

Today, Docker, and its open-source father now named Moby, is bigger than ever. According to Docker, over 3.5 million applications have been placed in containers using Docker technology and over 37 billion containerized applications have been downloaded.

It's not just Docker who thinks they're on to something big. 451 Research also sees Docker technology being wildly successful. It predicts "the application container market will explode over the next five years. Annual revenue is expected to increase by 4x, growing from $749 million in 2016 to more than $3.4 billion by 2021, representing a compound annual growth rate (CAGR) of 35 percent."

Real-world data backs up the conclusion that Docker is being widely adopted. DataDog, a cloud-monitoring system, found that by March 2016, "13.6 percent of Datadog's customers had adopted Docker. One year later that number has grown to 18.8 percent. That's almost 40 percent market-share growth in 12 months." RightScale observed in its RightScale 2018 State of the Cloud report that Docker's adoption by the industry has increased to 49 percent from 35 percent in 2017.

Docker, an open-source technology, isn't just the darling of Linux powers such as Red Hat and Canonical. Proprietary software companies such as Oracle and Microsoft have also embraced Docker. Today, almost all IT and cloud companies have adopted Docker.

https://www.zdnet.com/article/what-is-docker-and-why-is-it-so-darn-popular/
04-05-2018, 17:22 door Anoniem
Door Anoniem: Het zou interessant zijn om erachter te komen of je over het algemeen makkelijker uit Docker breekt dan meer traditionele VM's.

Dat is absoluut zo, Docker is geen security boundary. Dat is waarom Windows Server 2 keuzes biedt voor containers: 'gewone' (Docker) Server Containers en VM (Hyper-V) containers.

Staat hier goed beschreven: https://docs.microsoft.com/en-us/virtualization/windowscontainers/about/index

"A Windows Server Container shares a kernel with the container host and all containers running on the host. These containers do not provide a hostile security boundary and should not be used to isolate untrusted code.

Hyper-V Isolation – These containers are designed for hostile multitenant hosting with the same security assurances of a virtual machine."
04-05-2018, 19:14 door karma4
Door Krakatau:
...
Goed... In de echte wereld is Docker razend populair en dat gaat volgens (echte) deskundigen alleen maar toenemen:
...
Er is wezenlijk verschil in wat goed is en wat populair is. Blockchain, ponzi schema's, alt-a sub leningen populariteit is het verdien model.
04-05-2018, 23:18 door Krakatau - Bijgewerkt: 04-05-2018, 23:24
Door karma4:
Door Krakatau:
...
Goed... In de echte wereld is Docker razend populair en dat gaat volgens (echte) deskundigen alleen maar toenemen:
...
Er is wezenlijk verschil in wat goed is en wat populair is. Blockchain, ponzi schema's, alt-a sub leningen populariteit is het verdien model.

Dat is bij Docker niet het geval. En bij blockchain ook niet, in algemene zin. Kijk bv. naar Fairchain [1] en toepassingen in het Amazone gebied [2].

[1] http://fairchain.org/#primary
[2] https://www.reuters.com/article/us-brazil-property-blockchain/can-blockchain-save-the-amazon-in-corruption-mired-brazil-idUSKBN1FE113
07-05-2018, 10:10 door Anoniem
Persoonlijk vind ik Docker een draak van een applicatie. Griezelige daemons die als root op de achtergrond draaien (ik gebruik alleen Linux) en een schimmig security model.

Gebruik sinds een half jaar Singularity (dat geheel open source is). Dat werkt veel simpeler EN kan nagenoeg hetzelfde, zonder root access of enge daemons op de achtergrond.

Verder kan Singularity zonder enig probleem elk docker image starten, importeren of converteren, zolang ze geen root rechten nodig hebben.

Als je onder Singularity root rechten in een container wilt hebben, moet je simpelweg Singularity zelf als root draaien. Dan weet je wat je doet en ook wat de risico's zijn.

Dit pakket kun je op een groot systeem (cluster) als normale user zelf installeren, ook als je geen administrator bent, itt Docker.

Overigens weet ik niet of Singularity ook op MS-Windows draait (heb dat OS in geen 25 jaar gebruikt), maar ook de Docker versie is zeer beperkt onder MS-Windows. (Wikipedia:docker "A very limited Windows version of Docker is also available.")

Als je een container nodig hebt (Docker, Singularity of bijv. LXC) kun je wellicht beter meteen Linux gaan draaien.

https://singularity.lbl.gov/

Casey
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.