最新新闻
苹果在iOS 14.5中的重新校准过程提高了iPhone 11用户的电池健康百分比 泄露的视频显示 苹果想用Apple Pencil 3恢复光滑的表面 MSI发布GeForce RTX 3080海鹰X: AIO冷却工厂超频RTX 3080 苹果iMac:5月到4月20日 ICYMI:NVIDIA为支持的显卡启用了可调整大小的BAR和RTX语音 这是本周苹果春节的期待 三星注册了铠甲框架商标 作为一个新的更强的智能手机框架 谷歌在Chrome 90中引入了一项功能 创建指向网页上突出显示文本的链接 新版微软Edge浏览器已经在Windows和Mac上运行 自动选择问答:二手车过户需要哪些手续? 现在在推特上阅读带有评论的文章更容易了 谷歌Pixel 3a和Pixel 3a XL降价至有史以来最低价格 脸书推出虚拟会议工作间等 网飞取消无效账户 Windows NT 3.5和原Xbox源代码泄露 Facebook Messenger现在可以帮助您识别假冒用户 微软Edge Canary通过Pinterest集成更新 即使不用真5G 安卓11还是会说5Ge 如何在一加手机上添加任何应用到OxygenOS并行应用空间 谷歌支付不能在多部智能手机上使用 头条:Adobe已经为基于arm的Windows和Mac发布了Photoshop测试版 AOC正在推出一个新的产品类别:游戏设备 苹果iOS 14.2.1修复新iPhone 12机型的主要错误 基于ARM的华为PC亮相!这是详细信息 iOS 14支持谷歌的Gmail应用 这是检查iPhone 12绿屏的方法 MacBook Air和Pro M1的拆解揭示苹果硅心 RHA TrueControl ANC Real无线耳塞功能先进 苹果发布带iPhone 12mini锁屏修复功能的iOS 14.2.1 Realme Buds Air Neo无线耳塞正在开发中
您的位置:首页 >资讯 > 企业动态 >

广泛使用的容器应用程序存储库是数据泄露的受害者

2021-09-14 14:04:19   来源:
导读 Docker警告称,数据泄露将影响其Docker Hub存储库中约19万用户的容器映像。该漏洞最初由Docker在4月26日发送给Docker Hub用户的电子

Docker警告称,数据泄露将影响其Docker Hub存储库中约19万用户的容器映像。该漏洞最初由Docker在4月26日发送给Docker Hub用户的电子邮件中报告,披露了前一天4月25日发现的数据泄露事件。Docker Inc .是开源Docker容器背后的主要商业赞助商,它使开发人员能够以容器的形式构建、打包和部署应用程序。Docker Hub是Docker用户的热门存储库,您可以找到免费的Docker应用程序映像来运行。

Docker支持总监肯特兰姆(Kent Lamb)在发给Docker的一封电子邮件中写道:“在未经授权访问Docker Hub数据库的短时间内,大约19万个账户的敏感数据可能已经暴露(不到Hub用户的5%)。“数据包括这些用户中的少量用户名和哈希密码,以及Docker autobuild的GitHub和Bitbucket令牌。”

对接中枢是dockworkers于2014年6月推出的对接1.0版本。由于DockerCon会议将于4月30日在旧金山举行,新的数据泄露事件对Docker来说尤其不合时宜。

违规的影响

根据Docker的说法,数据泄露涉及对单个Docker Hub数据库的未授权访问,该数据库仅存储非金融用户数据的子集。不清楚违规是如何发生的,也不清楚攻击者可以未经授权访问多长时间。

Docker Hub包含许多不同类型的应用程序映像,供各种用户使用。Docker在FAQ中强调没有官方应用程序图像被泄露。官方图片是由Docker及其合作伙伴开发的图片,它们受益于额外的真实性和审查。

Docker说:“我们已经为官方图像制定了额外的安全措施,包括git提交文件上的GPG签名和公证签名,以确保每个图像的完整性。

公证是一种代码签名技术,它利用开源更新框架(TUF),并提供多层验证和检查,以帮助维护应用程序映像及其更新的安全性和真实性。

该漏洞对于开发人员尤其重要,而不仅仅是Docker Hub的普通用户。

“对于所有Docker Hub用户来说,没有必要采取任何措施来保护您的安全,”Docker说。"密码重置链接已经发送给任何可能泄露密码散列的用户."

Docker作为DevOps工具链的一部分被广泛使用,其中在GitHub和Bitbucket上开发的代码被定期自动构建,容器映像作为构建过程的一部分被自动部署到Docker Hub。

Docker说:“拥有自动构建功能且未链接GitHub或Bitbucket存储库的用户将需要重新链接这些存储库。

分析

Twistlock首席技术官John Morello在一篇博客文章中写道:“这次攻击可能会产生相当大的影响——但现在知道还为时过早。“对Hub帐户的访问意味着对repo的读/写访问,通过简单的docker pull myrepo/myimage,互联网上的任何人都可以轻松地重用它。”

Morello补充说,任何将其帐户连接到GitHub的Docker Hub用户都应该检查访问权限,以识别任何潜在的异常情况。

总体而言,Docker建议受影响的用户:

更改他们的Docker Hub帐户密码。

请参见GitHub活动。

取消GitHub访问的链接并重新链接。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。