¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Reglas de higiene

Правила гигиены

Otras ediciones de este tema (120)
  • añadir a favoritos
    Añadir a marcadores

Tu imagen querida y … agujereada

Consultas: 898 Comentarios: 2 Ranking: 7

lunes 11 de marzo de 2019

«El mundo de antivirus» ya informó una vez sobre los problemas de seguridad de la plataforma popular Docker. Recordamos que Docker permite iniciar las aplicaciones en un entorno aislado. Es decir, la aplicación llama las bibliotecas necesarias para su funcionamiento y otros recursos, y no contacta los recursos del sistema. Es muy cómodo, por ejemplo, para iniciar una aplicación si la misma funciona solo con una versión determinada de una biblioteca que no requieren otras aplicaciones. Se puede iniciar las aplicaciones obsoletas, así mismo, las que disponen de la funcionalidad necesaria para el usuario y eliminada en las versiones más recientes.

En general, los contenedores son mucho menos populares comparados con máquinas virtuales. Son ligeros lo cual permite iniciar muchos contenedores hasta en caso de hardware no muy potente.

https://habr.com/ru/company/southbridge/blog/339126

Y en esta ventaja hay una desventaja: las aplicaciones y los recursos obsoletos tienen vulnerabilidades no corregidas y los malintencionados pueden penetrar en el sistema a través de las mismas.

En Internet hay muchas imágenes Docker que hacen muchas cosas útiles e interesantes, pero si Vd. carga las imágenes sin usar ningún mecanismo de confianza y comprobación de autenticidad, eso significa que Vd. inicia en sus sistemas software aleatorio.

  • ¿De dónde fue cargada esta imagen?
  • ¿Vd. confía en sus creadores? ¿Qué políticas de seguridad usan ellos?
  • ¿Vd. tiene una confirmación criptográfica objetiva de que la imagen fue realmente creada por estas personas?
  • ¿Vd. está seguro de que nadie modificó está imagen una vez cargada?

https://habr.com/ru/company/southbridge/blog/339126

Además, la plataforma Docker no es un sistema de virtualización completo cuando para el funcionamiento de una aplicación se usa un sistema operativo de plena función. No, en caso de usar Docker todas las aplicaciones funcionan en un solo SO, aunque no pueden acceder a sus archivos. O, mejor dicho, antes no tenían este acceso.

La vulnerabilidad con ID CVE-2019-5736 proporciona al contenedor infectado la posibilidad de volver a escribir el archivo ejecutable runC en el host y obtener acceso root al mismo. Esto permite a este contenedor controlar el host y le ofrece al atacado ejecutar cualquier comando.

https://habr.com/ru/company/ruvds/blog/440096

Pero vamos a ver la noticia más atentamente: se trata de un “contenedor infectado”. En la edición sobre la Nube Dr.Web hemos confirmado que un antivirus ordinario instalado en el servidor donde se inician las imágenes detecta correctamente los programas nocivos en las mismas. Resulta que el problema otra vez no radica en vulnerabilidades: simplemente es que los administradores de servidores no usan medios de protección antivirus.

#servidor #antivirus #seguridad_corporativa #vulnerabilidad #exploit

El mundo de antivirus recomienda

  1. Siempre había y habrá vulnerabilidades, por lo tanto, es muy importante usar un antivirus para mayor seguridad.
  2. Las imágenes recibidas de algún origen deben ser escaneadas por un antivirus antes de usarlas.
  3. Instale las actualizaciones, así mismo, para los componentes Docker.

  4. Configure la restricción de permisos. Las imágenes iniciadas no deben tener permisos de acceso a los recursos del sistema.

    El término «salida del contenedor» (container breakout) se usar para las situaciones cuando para algún programa iniciado en un contenedor Docker consigue superar los mecanismos de aislamiento y obtener privilegios extra o acceso a la información confidencial en el host. Para prevenir estas situaciones, se disminuyen los privilegios del contenedor predeterminados. `Por ejemplo, el demonio de Docker de forma predeterminada se ejecute con root, pero es posible crear un espacio de nombre de usuario (user-level namespace) o quitar los privilegios potencialmente peligrosos del contenedor.

    https://habr.com/ru/company/southbridge/blog/339126

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios