Docker – Genauso schlimm wie befürchtet

Jetzt ist es also endlich soweit, jemand hat man genauer hingeschaut und Dockerimages auf Schwachstellen untersucht. Das Ergebnis: Es ist genauso schlimm wie das von den Skeptikern erwartet wurde!

Kaum Sicherheitsupdates

Zunächst mal zur Quelle der Daten:

https://snyk.io/blog/top-ten-most-popular-docker-images-each-contain-at-least-30-vulnerabilities/

Da ist eine schöne Grafik über die Anzahl der gefundenen Schwachstellen per speziellem Dockercontainer. Das NODE dabei übelst abgeschnitten hat, wundert mich seit meinen Kontakten damit nicht im geringsten. Ohne darauf groß einzugehen, eine Repoumgebung, die zig Versionen der gleichen Erweiterung bereithält, anstatt nur die mit den wenigsten Löchern drin, kann man nicht ernsthaft als Basis für irgendwas benutzen.

Jetzt zur Analyse oben

Die Skeptiker, Altbackenden, Konservativen, die Im-Weg-Steher hatten es von Anfang an gesagt:

Wenn man Apps in Container packt und eine für diese App gangbare Umgebung dazu legt, dann wird man am Ende jede Menge Container mit Sicherheitslücken haben. Und genau das ist dabei rausgekommen. Weil sie keiner updated, obwohl das möglich ist, dümmpelt eine Sicherheitslücke neben der anderen rum.

Der sicherere Ansatz ist und bleibt, daß jemand das OS vorgibt und sich die Apps an die Umgebung anpassen müssen. Damit sind die gezwungen Updates zu machen und das dient dann der allgemeinen Sicherheit.

QED. Und es wurde gerade demonstriert!

Abzulehnen ist also alles, was eine App installiert, die mit eigener Umgebung kommt, sowas wie FlatPak, Docker und Snap.

 

Zwei Sicherheitslücken auf die wir lange warten mußten!

Darauf mußten wir lange, lange warten:

THN: 36 Jahre alte Sicherheitslücke in SCP entdeckt!

Wie die Hacker News berichten, gibt es in SCP eine 36 Jahre alte Lücke, die es einem böswilligen Server erlaubt, beliebige Files beim Benutzer zu überschreiben.Da fast alle Implementierung vom alten Originalcode abstammen, sind sehr viele Anwendungen davon betroffen. Es können z.B. verstecke Bash-Files im Home (eines Unix/Linux/Macusers ) erzeugt werden, die als ANSI Codes übermittelt werden. Möglich wird die mangels guter Prüfung des erhaltenen Contents durch SCP. Da scp üblicherweise in der Shell eingesetzt wird, könnte das praktische ausnutzen der Schwachstelle in der Regel schwierig werden, da man sich nur zu bekannten Server mit SCP verbindet. Jemanden da per Spam hin zu bekommen, könnte schwer fallen.

Auch lange warten mußten wir auf diese Meldung, die nicht minder prikär ist, vielleicht sogar noch schlimmer:

heise.de : Forscher brechen aus Docker-Container aus

Ich persönlich warte ja schon länger auf diese Meldung, aber verwundern wird sie wohl keinen. Die Hauptkritik an Container ist ja, daß die darin enthaltene Software nicht aktuell gehalten sein wird, weil sonst könnte der Entwickler die Anwendung ja auch prima auf einem normalen System starten. Natürlich gibt es noch andere Gründe für einen Container: Transferierbarkeit, Skalierbarkeit  usw. aber uns interessiert die Sicherheit natürlich mehr. Wenn ich jetzt Software von Anno Schnee in einem Container habe, der nicht aktualisiert wird, weil „wieso, geht doch!“, das übliche Argument der Neulandmanager halt, dann habe ich jetzt endlich den Exploit, der mir bisher fehlte, um aus dem Schrott auszubrechen. VMs sind übrigens nicht anders, nur einer VM kann ich ( ICH!! ) sagen, daß das System dadrin aktualisiert werden soll. Bei „Docker“ ist das ein Heckmeck sondergleichen, wenn die Funktion nicht vorgesehen ist.

Die „Play with Docker“ Containerumgebung wird nicht die Einzige sein, die mit „wieso, kann doch keiner ausbrechen“ als Argument, die Anwendung mit erhöhten Rechten laufen läßt. Es wird also spannend werden, wenn man Docker einsetzt. Eine Lücke mehr, die man stopfen muß. Das sollte man sich vor Augen halten.