Docker警告数据泄露会影响其Docker Hub存储库的大约190,000个用户的容器映像。该漏洞最初是由Docker于4月26日在发送给Docker Hub用户的电子邮件中报告的,揭示了前一天4月25日发现的数据泄露事件.Docker Inc.是开源Docker容器背后的主要商业赞助商使开发人员能够将应用程序构建,打包和部署为容器的技术。Docker Hub是Docker用户的热门存储库,可以找到可供运行的免费Docker应用程序映像。
“在未经授权访问Docker Hub数据库的短暂时间内,大约有190,000个帐户的敏感数据可能已暴露(不到5%的Hub用户),”Docker支持总监Kent Lamb在发送给Docker的电子邮件中写道Hub用户。“数据包括这些用户中的一小部分用户名和散列密码,以及Docker autobuild的GitHub和Bitbucket令牌。”
泊坞枢纽是推出在2014年6月由码头工人一起公司公司的泊坞1.0版本。由于DockerCon会议将于4月30日在旧金山举行,因此新数据泄露事件对Docker来说尤为不合时宜。
违反影响
根据Docker的说法,数据泄露涉及未经授权访问单个Docker Hub数据库,该数据库仅存储非财务用户数据的子集。目前尚不清楚违规行为是如何发生的,或者攻击者可能有多长时间未经授权访问。
Docker Hub包含许多不同类型的应用程序映像,并被各种用户使用。Docker在 常见问题解答中强调了没有官方应用程序图像被泄露的事件。官方图片是Docker及其合作伙伴开发的图片,受益于额外的真实性和审查。
“我们为官方图像制定了额外的安全措施,包括git提交上的GPG签名以及公证人签名,以确保每个图像的完整性,”Docker说。
公证是一种代码签名技术,它利用开源的更新框架(TUF),它提供多层验证和检查,以帮助维护应用程序映像及其更新的安全性和真实性。
这种漏洞对于开发人员尤为重要,而不仅仅是Docker Hub的常规用户。
“对于所有Docker Hub用户,不需要采取任何措施来保护您的安全,”Docker表示。“密码重置链接已发送给可能泄露密码哈希的任何用户。”
Docker被广泛用作DevOps工具链的一部分,其中在GitHub和Bitbucket上开发的代码会定期自动构建,容器映像会自动部署到Docker Hub,作为构建过程的一部分。
“具有autobuild并且已经将GitHub或Bitbucket存储库取消链接的用户将需要重新链接这些存储库,”Docker说。
分析
“这次袭击可能会产生相当大的影响 - 但现在要知道这一点还为时尚早,”Twistlock首席技术官John Morello在一篇博文中写道。“访问Hub帐户意味着对repos的读/写访问权限,互联网上的任何人都可以通过简单的docker pull myrepo / myimage轻松重复使用。”
Morello补充说,任何将其帐户连接到GitHub的Docker Hub用户都应该查看访问权限以识别任何潜在的异常情况。
总体而言,Docker建议受影响的用户:
更改其Docker Hub帐户密码。
查看GitHub活动。
取消链接,然后重新链接GitHub访问权限。