cnt
Vier Fünftel der Images auf Docker Hub sind löchrig
Quelle: Pixabay/gregor

Vier Fünftel der Images auf Docker Hub sind löchrig

Auf dem Community-Marktplatz Docker Hub findet man über drei Millionen vorgefertigte Docker-Images für alle möglichen Anwendungszwecke. Ein guter Teil davon leidet jedoch unter teils schwerwiegenden Sicherheitslücken.
17. Juni 2020

     

Drei Sicherheitsforscher der norwegischen Universität für Technik und Wissenschaft haben rund 2500 Docker-Images unter die Lupe genommen, die auf dem Container-Marktplatz Docker Hub gespeichert sind. Der Docker Hub unterscheidet zwischen offiziellen, verifizierten, zertifizierten und Community Images.

Ein zertifiziertes Image, wovon auf Docker Hub 51 Stück zu finden sind, muss diverse Best Practices berücksichtigen und automatisierte Tests bestehen. Gerade bei diesem Typ sind die Ergebnisse der Studie ernüchternd: In 82 Prozent davon klafft im Minimum eine schwere oder kritische Sicherheitslücke. Nur in der Kategorie Official mit 160 Einträgen hat Docker-Hub-eigenes Personal die Images explizit auf Verwundbarkeiten geprüft – und sogar hier ermittelte die Studie, dass 46 Prozent der Images Sicherheitsprobleme aufweisen.


Den Hauptanteil machen hingegen mit über 99 Prozent aller Einträge die Community Images aus, und auch hier sieht stellt sich die Situation nicht besser dar. Acht von zehn der Images mit den schwersten Sicherheitsproblemen gehören zu dieser Kategorie. Ganz generell fanden Katrine Wist, Malene Helsen und Danilo Gligoroski nur in 18 Prozent der untersuchten Images gar keine Sicherheitslecks. Interessant: Am meisten verwundbar waren Images, die Python-Pakete oder die Javascript-Hilfsbibliothek Lodash enthalten. (ubi)


Weitere Artikel zum Thema

Cyberkriminelle scannen Internet nach offenen Docker-API-Endpunkten

26. November 2019 - Offenbar wird das Internet von Cyberkriminellen nach offenen API-Endpunkten von Docker-Instanzen abgesucht. Werden offene Endpunkte gefunden, dann werden Kryptominer installiert.

Docker-Hack kompromittiert 190'000 Konten

29. April 2019 - Durch einen Hack wurden möglicherweise Docker-Hub-Usern-Namen, Hashes von Passwörtern sowie Access Tokens von Github und Bitbucket kompromittiert.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER