• IT-Karriere:
  • Services:

Studie: Docker-Images oft mit Sicherheitslücken

Die offiziellen Abbilder im sogenannten Docker-Hub enthielten in über 30 Prozent aller Fälle schwere Sicherheitslücken, heißt es in einer Studie. Darunter seien auch sehr schwerwiegende, die lange bekannt seien.

Artikel veröffentlicht am ,
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken.
Viele Abbilder von Docker-Containern enthalten Sicherheitslücken. (Bild: Martina Nolte/Wikimedia/CC-BY-SA 3.0 DE)

Über den Docker-Hub können Nutzer des Werkzeugs Abbilder der zu Containern gepackten Anwendungen erhalten und teilen. Doch in mehr als einem Drittel der so verfügbaren Software seien gravierende Sicherheitslücken enthalten, heißt es in einer Studie von Banyan, das auf die Analyse von Containern spezialisiert ist. Dies gelte für die jeweils offiziell gepflegten Abbilder bestimmter Organisationen, zu denen auch die großen Linux-Distributoren gehören. Für aktuelle Versionen der Abbilder sinke der Wert nur leicht auf 23 Prozent.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. EDAG Engineering GmbH, Wolfsburg

Bei älteren Versionen, die immer noch verfügbar sind, sowie bei Containern, welche durch die Community betreut werden, sei die Rate an kritischen Fehlern sogar noch etwas höher und liege hier bei etwa 40 Prozent. Zur Analyse nutzte das Unternehmen selbst erstellte Werkzeuge und verglich die Versionen der vorgefundenen Pakete mit Datenbanken über Sicherheitslücken. Die veröffentlichte Studie beziehe sich auf einen Schnappschuss des Docker-Hubs vom 20. Mai, für andere Tage gebe es aber ähnliche Ergebnisse.

Teils schwerwiegende Lücken

Die genannten Zahlen beziehen sich auf die Einordnung der jeweiligen Fehler in den höchsten Schweregrad. Dazu zählen etwa Heartbleed oder Poodle aus OpenSSL, die in jedem zehnten Docker-Image zu finden seien. Eine erst vor kurzem aufgefundene Lücke in Mercurial sei gar in einem Fünftel der untersuchten Abbilder vorhanden.

Da die normalen Update-Zyklen bei Distributoren, unabhängig von Docker, mitunter einige wenige Wochen betragen können, ist das Auffinden der Mercurial-Lücke wenig überraschend. Bei den OpenSSL-Fehlern gilt das aber nicht. So ist Heartbleed seit über einem Jahr bekannt.

Die Autoren schließen aus ihren Ergebnissen, dass die eingesetzten Abbilder bei Docker durch die Anwender analysiert werden sollten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

SelfEsteem 28. Mai 2015

Verteilt Ihr dabei die vorgefertigten Images direkt auf die einzelnen Maschinen? Ich...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Dreams im Test: Bastelwastel im Traumiversum
    Dreams im Test
    Bastelwastel im Traumiversum

    Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
    Ein Test von Peter Steinlechner

    1. Ausdiskutiert Sony schließt das Playstation-Forum
    2. Sony Absatz der Playstation 4 geht weiter zurück
    3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

    Dauerbrenner: Bis dass der Tod uns ausloggt
    Dauerbrenner
    Bis dass der Tod uns ausloggt

    Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
    Von Daniel Ziegener

    1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
    2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

      •  /