Abo
  • Services:
Anzeige
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken.
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken. (Bild: Martina Nolte/Wikimedia/CC-BY-SA 3.0 DE)

Studie: Docker-Images oft mit Sicherheitslücken

Viele Abbilder von Docker-Containern enthalten Sicherheitslücken.
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken. (Bild: Martina Nolte/Wikimedia/CC-BY-SA 3.0 DE)

Die offiziellen Abbilder im sogenannten Docker-Hub enthielten in über 30 Prozent aller Fälle schwere Sicherheitslücken, heißt es in einer Studie. Darunter seien auch sehr schwerwiegende, die lange bekannt seien.

Anzeige

Über den Docker-Hub können Nutzer des Werkzeugs Abbilder der zu Containern gepackten Anwendungen erhalten und teilen. Doch in mehr als einem Drittel der so verfügbaren Software seien gravierende Sicherheitslücken enthalten, heißt es in einer Studie von Banyan, das auf die Analyse von Containern spezialisiert ist. Dies gelte für die jeweils offiziell gepflegten Abbilder bestimmter Organisationen, zu denen auch die großen Linux-Distributoren gehören. Für aktuelle Versionen der Abbilder sinke der Wert nur leicht auf 23 Prozent.

Bei älteren Versionen, die immer noch verfügbar sind, sowie bei Containern, welche durch die Community betreut werden, sei die Rate an kritischen Fehlern sogar noch etwas höher und liege hier bei etwa 40 Prozent. Zur Analyse nutzte das Unternehmen selbst erstellte Werkzeuge und verglich die Versionen der vorgefundenen Pakete mit Datenbanken über Sicherheitslücken. Die veröffentlichte Studie beziehe sich auf einen Schnappschuss des Docker-Hubs vom 20. Mai, für andere Tage gebe es aber ähnliche Ergebnisse.

Teils schwerwiegende Lücken

Die genannten Zahlen beziehen sich auf die Einordnung der jeweiligen Fehler in den höchsten Schweregrad. Dazu zählen etwa Heartbleed oder Poodle aus OpenSSL, die in jedem zehnten Docker-Image zu finden seien. Eine erst vor kurzem aufgefundene Lücke in Mercurial sei gar in einem Fünftel der untersuchten Abbilder vorhanden.

Da die normalen Update-Zyklen bei Distributoren, unabhängig von Docker, mitunter einige wenige Wochen betragen können, ist das Auffinden der Mercurial-Lücke wenig überraschend. Bei den OpenSSL-Fehlern gilt das aber nicht. So ist Heartbleed seit über einem Jahr bekannt.

Die Autoren schließen aus ihren Ergebnissen, dass die eingesetzten Abbilder bei Docker durch die Anwender analysiert werden sollten.


eye home zur Startseite
SelfEsteem 28. Mai 2015

Verteilt Ihr dabei die vorgefertigten Images direkt auf die einzelnen Maschinen? Ich...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Raum Wiesbaden
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. escrypt GmbH Embedded Security, Stuttgart
  4. InnovaMaxx GmbH, Berlin


Anzeige
Spiele-Angebote
  1. (-50%) 7,50€
  2. 26,99€
  3. (-53%) 6,99€

Folgen Sie uns
       


  1. Elektromobilität

    Lithium ist genug vorhanden, aber es wird teurer

  2. Indiegames-Rundschau

    Krawall mit Knetmännchen und ein Mann im Fass

  3. Microsoft

    Surface Book 2 mit 15 Zoll kommt nach Deutschland

  4. Patent

    Huawei untersucht alternative Smartwatch-Bedienung

  5. AirSpaceX

    Lufttaxi Mobi-One kann fliegen und fahren

  6. NGSFF alias M.3

    Adata zeigt seine erste SSD mir breiterer Platine

  7. Ransomware

    Krankenhaus zahlt 60.000 US-Dollar trotz Backups

  8. Curie

    Google verlegt drei neue Seekabel

  9. Auto

    Ferrari plant elektrischen Supersportwagen

  10. Faser-Wearables

    OLED als Garn für leuchtende Stoffe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

  1. Re: Tja, der Markt regelt das schon

    der_wahre_hannes | 12:18

  2. Re: gezwungen?

    der_wahre_hannes | 12:18

  3. Re: Ihr Knechte sollt mieten, mieten, mieten!

    ArcherV | 12:17

  4. Re: "Wenn es einen elektrischen Supersportwagen...

    gadthrawn | 12:17

  5. Re: Backups sind nie ganz aktuell

    Niaxa | 12:17


  1. 12:30

  2. 12:00

  3. 11:48

  4. 11:20

  5. 10:45

  6. 10:25

  7. 09:46

  8. 09:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel