image

Zo'n 200 populaire Docker-images hebben geen rootwachtwoord

dinsdag 21 mei 2019, 11:33 door Redactie, 5 reacties

Tweehonderd van de duizend populairste Docker-images blijken geen rootwachtwoord te hebben, zo stelt securitybedrijf Kenna op basis van eigen onderzoek. Eerder deze maand werd bekend dat verschillende Docker-images van Alpine Linux, een op security gerichte Linuxdistributie, iedereen met een leeg wachtwoord als root laten inloggen.

Docker is een tool waarmee ontwikkelaars een applicatie in een container kunnen uitrollen om op het onderliggende besturingssysteem te draaien. Docker-images worden voor deze containers gebruikt. Jerry Gamblin van Kenna besloot te kijken of het probleem ook bij andere images speelt. Hij onderzocht de duizend populairste Docker-images. 194 daarvan hadden geen rootwachtwoord.

In het geval van Alpine Linux werd de aanwezigheid van het lege wachtwoord als zeer ernstig beoordeeld. Het beveiligingslek kreeg op een schaal van 1 tot en met 10 wat betreft de ernst een 9,8 toegewezen. Volgens Gamblin moet het uitrollen van containers waarmee gebruikers zich als root kunnen authenticeren koste wat kost voorkomen worden, omdat het authenticeren als root geen 'best practice' voor veilige containers of systemen is. Een overzicht van de 194 images is op deze pagina te vinden.

Reacties (5)
21-05-2019, 11:49 door Anoniem
Omdat je niet als root inlogt maar sudo hiervoor gebruikt?
21-05-2019, 15:01 door Anoniem
Eerder deze maand werd bekend dat verschillende Docker-images van Alpine Linux, een op security gerichte Linuxdistributie, iedereen met een leeg wachtwoord als root laten inloggen.
HAHAHA, echt humor dit. Security gericht, maar zonder wachtwoord. :)

( ik had ooit ook een leeg wachtwoord: "KoekjeztrommelSonderCookiezzz" )
22-05-2019, 09:07 door Anoniem
Door Anoniem: Omdat je niet als root inlogt maar sudo hiervoor gebruikt?
Omdat je dan inlogt met een account dat een wachtwoord heeft, gelogd wordt wie sudo heeft gebruikt, beperkt kan worden welke commando middels sudo uitgevoerd kunnen worden. Direct inloggen als root is zo anoniem als Anoniem op security.nl
23-05-2019, 14:16 door Anoniem
Door Anoniem: Omdat je niet als root inlogt maar sudo hiervoor gebruikt?
Zo werkt Docker niet.
Maar het is Slechte Gewoonte (tm) Dockers onder root te laten werken. Beetje als iedereen sysdba rechten geven in een (Oracle) database, "want dan werkt alles tenminste".
24-05-2019, 11:36 door Anoniem
Al zou er een default wachtwoord zijn... Dit zou net zo veilig zijn als een router waarop men met admin / admin inlogd. Best practice is gewoon altijd een nieuw wachtwoord in te stellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.