界: Environment
本节包括的所有内容均与源代码无关,但对所创建产品的安全性仍然至关重要。因为本节涉及的问题与源代码没有直接关系,所以我们将它与其他章节分开。
Dockerfile Misconfiguration: Dependency Confusion
Abstract
检索使用非特定版本的生成依赖项会使编译系统容易受到恶意二进制文件的攻击或导致系统出现意外行为。
Explanation
Dockerfile 可以为依赖项和基础映像指定未绑定的版本范围。如果攻击者能够将恶意版本的依赖项添加到存储库中或诱骗编译系统从攻击者控制的存储库下载依赖项,如果 docker 没有配置特定版本的依赖项,则 docker 将静默下载并运行受损的依赖项。
攻击者可以利用这种缺陷实施供应链攻击,其中攻击者可以利用开发人员的错误配置、误植域名以及向开源存储库添加恶意程序包。这种类型的攻击利用对已发布程序包的信任来获取访问权限并窃取数据。
在 docker 中,
示例 1:以下配置指示 Docker 选择最新版本的
Docker 不会验证配置为支持程序包管理器的存储库是否值得信赖。
示例 2:以下配置指示程序包管理器
在
攻击者可以利用这种缺陷实施供应链攻击,其中攻击者可以利用开发人员的错误配置、误植域名以及向开源存储库添加恶意程序包。这种类型的攻击利用对已发布程序包的信任来获取访问权限并窃取数据。
在 docker 中,
latest 标签自动指示映像的版本级别,该映像不使用摘要或唯一标签提供其版本信息。Docker 的机制是自动指定 latest 标签指向最新的映像清单文件。由于标签是可变的,因此攻击者可以替换使用 latest(或弱标签,如 imagename-lst, imagename-last, myimage)的映像和层。示例 1:以下配置指示 Docker 选择最新版本的
ubuntu 基础映像。
FROM ubuntu:Latest
...
Docker 不会验证配置为支持程序包管理器的存储库是否值得信赖。
示例 2:以下配置指示程序包管理器
zypper 检索给定程序包的最新版本。
...
zypper install package
...
在
Example 2 中,如果存储库遭到破坏,攻击者只需上传符合动态标准的版本并诱使 zypper 下载依赖项的恶意版本。References
[1] Best practices for writing Dockerfile
[2] Standards Mapping - Common Weakness Enumeration CWE ID 20
[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [3] CWE ID 020
[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [3] CWE ID 020
[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [4] CWE ID 020
[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [4] CWE ID 020
[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [6] CWE ID 020
[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020
[9] Standards Mapping - FIPS200 CM
[10] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.1.3 Input Validation Requirements (L1 L2 L3), 5.1.4 Input Validation Requirements (L1 L2 L3)
[12] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[13] Standards Mapping - OWASP Mobile 2024 M2 Inadequate Supply Chain Security
[14] Standards Mapping - OWASP Top 10 2004 A10 Insecure Configuration Management
[15] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[16] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[17] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[18] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection
[29] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 020
[30] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.configuration.docker.dockerfile_misconfiguration_dependency_confusion