Tweehonderd van de duizend populairste Docker-images blijken geen rootwachtwoord te hebben, zo stelt securitybedrijf Kenna op basis van eigen onderzoek. Eerder deze maand werd bekend dat verschillende Docker-images van Alpine Linux, een op security gerichte Linuxdistributie, iedereen met een leeg wachtwoord als root laten inloggen.
Docker is een tool waarmee ontwikkelaars een applicatie in een container kunnen uitrollen om op het onderliggende besturingssysteem te draaien. Docker-images worden voor deze containers gebruikt. Jerry Gamblin van Kenna besloot te kijken of het probleem ook bij andere images speelt. Hij onderzocht de duizend populairste Docker-images. 194 daarvan hadden geen rootwachtwoord.
In het geval van Alpine Linux werd de aanwezigheid van het lege wachtwoord als zeer ernstig beoordeeld. Het beveiligingslek kreeg op een schaal van 1 tot en met 10 wat betreft de ernst een 9,8 toegewezen. Volgens Gamblin moet het uitrollen van containers waarmee gebruikers zich als root kunnen authenticeren koste wat kost voorkomen worden, omdat het authenticeren als root geen 'best practice' voor veilige containers of systemen is. Een overzicht van de 194 images is op deze pagina te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.