Abo
  • Services:
Anzeige
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken.
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken. (Bild: Martina Nolte/Wikimedia/CC-BY-SA 3.0 DE)

Studie: Docker-Images oft mit Sicherheitslücken

Viele Abbilder von Docker-Containern enthalten Sicherheitslücken.
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken. (Bild: Martina Nolte/Wikimedia/CC-BY-SA 3.0 DE)

Die offiziellen Abbilder im sogenannten Docker-Hub enthielten in über 30 Prozent aller Fälle schwere Sicherheitslücken, heißt es in einer Studie. Darunter seien auch sehr schwerwiegende, die lange bekannt seien.

Anzeige

Über den Docker-Hub können Nutzer des Werkzeugs Abbilder der zu Containern gepackten Anwendungen erhalten und teilen. Doch in mehr als einem Drittel der so verfügbaren Software seien gravierende Sicherheitslücken enthalten, heißt es in einer Studie von Banyan, das auf die Analyse von Containern spezialisiert ist. Dies gelte für die jeweils offiziell gepflegten Abbilder bestimmter Organisationen, zu denen auch die großen Linux-Distributoren gehören. Für aktuelle Versionen der Abbilder sinke der Wert nur leicht auf 23 Prozent.

Bei älteren Versionen, die immer noch verfügbar sind, sowie bei Containern, welche durch die Community betreut werden, sei die Rate an kritischen Fehlern sogar noch etwas höher und liege hier bei etwa 40 Prozent. Zur Analyse nutzte das Unternehmen selbst erstellte Werkzeuge und verglich die Versionen der vorgefundenen Pakete mit Datenbanken über Sicherheitslücken. Die veröffentlichte Studie beziehe sich auf einen Schnappschuss des Docker-Hubs vom 20. Mai, für andere Tage gebe es aber ähnliche Ergebnisse.

Teils schwerwiegende Lücken

Die genannten Zahlen beziehen sich auf die Einordnung der jeweiligen Fehler in den höchsten Schweregrad. Dazu zählen etwa Heartbleed oder Poodle aus OpenSSL, die in jedem zehnten Docker-Image zu finden seien. Eine erst vor kurzem aufgefundene Lücke in Mercurial sei gar in einem Fünftel der untersuchten Abbilder vorhanden.

Da die normalen Update-Zyklen bei Distributoren, unabhängig von Docker, mitunter einige wenige Wochen betragen können, ist das Auffinden der Mercurial-Lücke wenig überraschend. Bei den OpenSSL-Fehlern gilt das aber nicht. So ist Heartbleed seit über einem Jahr bekannt.

Die Autoren schließen aus ihren Ergebnissen, dass die eingesetzten Abbilder bei Docker durch die Anwender analysiert werden sollten.


eye home zur Startseite
SelfEsteem 28. Mai 2015

Verteilt Ihr dabei die vorgefertigten Images direkt auf die einzelnen Maschinen? Ich...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Hamburg
  2. Robert Bosch Start-up GmbH, Renningen
  3. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  4. Paul Bauder GmbH & Co. KG, Stuttgart


Anzeige
Top-Angebote
  1. (u. a. Crucial Ballistix Sport 16-GB-DDR4 für 121€ + 4,99€ Versand)
  2. 799€
  3. 429€

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Zitis Wer Sicherheitslücken findet, darf sie behalten
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: Was ihnen Golem unterschlägt

    NopeNopeNope | 00:40

  2. Re: Breitbandatlas & Afd hochburgen

    Niaxa | 00:39

  3. Re: Für mich nicht nachvollziehbar

    amagol | 00:38

  4. Re: Passt zum Gesamtkonzept von Tesla

    Niaxa | 00:35

  5. Re: ¤3000 bei ¤70k.... macht keinen grossen...

    Niaxa | 00:32


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel