Docker警告數據泄露會(huì )影響其Docker Hub存儲庫的大約190,000個(gè)用戶(hù)的容器映像。該漏洞最初是由Docker于4月26日在發(fā)送給Docker Hub用戶(hù)的電子郵件中報告的，揭示了前一天4月25日發(fā)現的數據泄露事件.Docker Inc.是開(kāi)源Docker容器背后的主要商業(yè)贊助商使開(kāi)發(fā)人員能夠將應用程序構建，打包和部署為容器的技術(shù)。Docker Hub是Docker用戶(hù)的熱門(mén)存儲庫，可以找到可供運行的免費Docker應用程序映像。

“在未經(jīng)授權訪(fǎng)問(wèn)Docker Hub數據庫的短暫時(shí)間內，大約有190,000個(gè)帳戶(hù)的敏感數據可能已暴露(不到5%的Hub用戶(hù))，”Docker支持總監Kent Lamb在發(fā)送給Docker的電子郵件中寫(xiě)道Hub用戶(hù)。“數據包括這些用戶(hù)中的一小部分用戶(hù)名和散列密碼，以及Docker autobuild的GitHub和Bitbucket令牌。”

泊塢樞紐是推出在2014年6月由碼頭工人一起公司公司的泊塢1.0版本。由于DockerCon會(huì )議將于4月30日在舊金山舉行，因此新數據泄露事件對Docker來(lái)說(shuō)尤為不合時(shí)宜。

違反影響

根據Docker的說(shuō)法，數據泄露涉及未經(jīng)授權訪(fǎng)問(wèn)單個(gè)Docker Hub數據庫，該數據庫僅存儲非財務(wù)用戶(hù)數據的子集。目前尚不清楚違規行為是如何發(fā)生的，或者攻擊者可能有多長(cháng)時(shí)間未經(jīng)授權訪(fǎng)問(wèn)。

Docker Hub包含許多不同類(lèi)型的應用程序映像，并被各種用戶(hù)使用。Docker在 常見(jiàn)問(wèn)題解答中強調了沒(méi)有官方應用程序圖像被泄露的事件。官方圖片是Docker及其合作伙伴開(kāi)發(fā)的圖片，受益于額外的真實(shí)性和審查。

“我們?yōu)楣俜綀D像制定了額外的安全措施，包括git提交上的GPG簽名以及公證人簽名，以確保每個(gè)圖像的完整性，”Docker說(shuō)。

公證是一種代碼簽名技術(shù)，它利用開(kāi)源的更新框架(TUF)，它提供多層驗證和檢查，以幫助維護應用程序映像及其更新的安全性和真實(shí)性。

這種漏洞對于開(kāi)發(fā)人員尤為重要，而不僅僅是Docker Hub的常規用戶(hù)。

“對于所有Docker Hub用戶(hù)，不需要采取任何措施來(lái)保護您的安全，”Docker表示。“密碼重置鏈接已發(fā)送給可能泄露密碼哈希的任何用戶(hù)。”

Docker被廣泛用作DevOps工具鏈的一部分，其中在GitHub和Bitbucket上開(kāi)發(fā)的代碼會(huì )定期自動(dòng)構建，容器映像會(huì )自動(dòng)部署到Docker Hub，作為構建過(guò)程的一部分。

“具有autobuild并且已經(jīng)將GitHub或Bitbucket存儲庫取消鏈接的用戶(hù)將需要重新鏈接這些存儲庫，”Docker說(shuō)。

分析

“這次襲擊可能會(huì )產(chǎn)生相當大的影響 - 但現在要知道這一點(diǎn)還為時(shí)尚早，”Twistlock首席技術(shù)官John Morello在一篇博文中寫(xiě)道。“訪(fǎng)問(wèn)Hub帳戶(hù)意味著(zhù)對repos的讀/寫(xiě)訪(fǎng)問(wèn)權限，互聯(lián)網(wǎng)上的任何人都可以通過(guò)簡(jiǎn)單的docker pull myrepo / myimage輕松重復使用。”

Morello補充說(shuō)，任何將其帳戶(hù)連接到GitHub的Docker Hub用戶(hù)都應該查看訪(fǎng)問(wèn)權限以識別任何潛在的異常情況。

總體而言，Docker建議受影響的用戶(hù)：

更改其Docker Hub帳戶(hù)密碼。

查看GitHub活動(dòng)。

取消鏈接，然后重新鏈接GitHub訪(fǎng)問(wèn)權限。