Mais problemas de segurança atormentado usuários do Docker conteinerização aplicação de tecnologia para Linux, esta semana, depois de um patch de segurança anterior foi encontrado para ter introduzido uma vulnerabilidade crítica novo no software.
A atualização Docker 1.3.2, que foi lançado em novembro de abordar bugs críticos que poderiam ser exploradas por um atacante por meio de um arquivo de imagem malicioso Docker, já foi suplantada por Docker 1.3.3, e todos os usuários da versão 1.3.2 são instados para atualizar o mais rápido possível.
Parece que, apesar de o patch 1.3.2 introduziu sandboxing "chroot" quando descompactar imagens Docker para fechar a vuln anteriormente, trouxe com ele mais um bug que poderia ser explorada por incluindo binários .xz maliciosos em arquivos de imagem. O resultado é que um invasor pode potencialmente executar código arbitrário com privilégios de usuário root nos sistemas afetados.
Tal como acontece com a vulnerabilidade de novembro, o novo bug foi descoberto pelo pesquisador de segurança independente Tõnis Tiigi.
Estes problemas de segurança ter sido um olho negro para Docker, que está cada vez mais sendo olhos como um substituto mais limpo para a tecnologia de virtualização, particularmente em servidores hospedados na nuvem.
No início deste mês, Alex Polvi, CEO da CoreOS, que comercializa uma distribuição Linux de mesmo nome para implementações de servidores enorme escala, bateu modelo de segurança da Docker como sendo "quebrado", acrescentando que o seu design orientado-daemon é "fundamentalmente falho". CoreOS está agora trabalhando em uma alternativa mais simples Docker chamado Foguete.
Por seu lado, Docker diz que considera a segurança de ser "de suma importância." Correções de bugs, em vez de novas funcionalidades, foram o foco principal da versão 1.4.0 do software, que foi lançado na quinta-feira em simultâneo com a versão 1.3.3 e inclui mais de 180 correções.
Em um post no blog , Docker sênior veep engenharia Marianna Tessel disse: "No futuro, esperamos novos plugins motor de execução para oferecer mais opções e maior granularidade para os nossos usuários com foco em segurança."
Ela acrescentou que Docker introduziu imagens assinadas em seus repositórios com a versão 1.3 e que propôs um sistema de confiança para ajudar os clientes a garantir que as imagens que estão baixando são legítimos.
"À medida que crescemos, vamos continuar o nosso investimento em nossa equipe de segurança, as contribuições, ferramentas e processos", disse Tessel. "Este investimento fará Docker mais seguro, ajudando-a a tornar-se um parceiro seguro e confiável para nossos usuários." ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário