Vlákno názorů k článku Postřehy z bezpečnosti: zranitelnost v XZ Utils žije dál od Filip Jirsák - U těch zranitelných obrazů Debianu jsou dva reálné...

U těch zranitelných obrazů Debianu jsou dva reálné problémy: 1. že ty obrazy nejsou aktualizované, 2. že jsou to obří obrazy obsahující spoustu zbytečného softwaru. To, že je tam zranitelné xz, je ten nejmenší problém – protože ve většině těch obrazů se ten kód nikdy nespustí. Ale chápu, že je to problém pro automatické skeny, protože ty jednoduše najdou zranitelnou aplikaci – ale zjistit, zda se používá či nepoužívá už tak jednoduché není.

Nepotreboval nahodou tento backdoor aj systemd a sshd? V dockerovom image ich asi nenajde, takze fungovat nebude.

No a to je problem takychto hlaseni: v honbe za senzaciou "nasli sme zranitelnost" sa vsetko interpretuje v nahorsom moznom svetle bez kontextu, len aby sme si zapisali cirarku a vedelo sa o nas.

Když je v tom image xz, nejspíš tam bude i sshd a systemd, ale obvykle nic z toho nebude spuštěného. Ale samozřejmě to není 100% – dělají se i image, kde běží systemd, a někdy se hodí spustit si tam sshd (i když jen během ladění).

Pokial v image mate systemd (v kontajneri ma byt jeden proces, ktory sa spusta pri spusteni kontajneru) alebo sshd (namiesto attachnutia z hosta, ked uz treba nieco ladit), tak nieco robite velmi zle.

"Normalne" image toto nerobia.

Naopak, mnoho produkcnych image nema ani len shell, ktory by sa dal spustit pri attachnuti. Ladi sa len s logmi a telemetriou.

To je klidně možné, ale pokud se nejedná o síťovou instalaci bez HW firewallu, tak se tam stejně s upraveným klíčem nikdo ani nepřipojí na port 22.

Nepsal jsem o tom, co mám já. Psal jsem o tom, co se vyskytuje ve světě. Jinak i v dobře navrženém kontejneru těch procesů může být víc (kdyby nic jiného, docela dost aplikací má při běhu víc procesů), důležité je, aby ten kontejner jako celek správně reagoval na signály posílané hlavnímu procesu.

Já mám nejraději image, které nejsou založené na žádné běžné distribuci, ale je tam opravdu jen runtime a knihovny potřebné pro běh dané aplikace. Ale takové image nemají problém s tím, že by v nich byly nainstalované XZ Utils.

Ty automaticke skeny maji za ukol ukazat potencionalni riziko. Kdyz se sken bude spolehat jenom na to ze tam neni ssh nebo systemd tak sken probehne, zahlasi ze tam zadna zranitelnost neni a za 5 minut si tam uzivatel nainstaluje systemd a ssh a dojde ke zneuziti zranitelnosti ktera mohla byt jiz odstranena. Ze si myslis ze se veci nejak delaj je tvuj omezeny pohled na svet, ja videl takove prasarny o kterych ani nesnis. Jakekoliv docker images jsou obecne pruser protoze 99% lidi a firem pouzivajicich tyhle obrazy stazene nekde z internetu je neaktualizuje protoze to nemaj automatizovane a lidi nemaj cas.

Píšete nesmysly. Když si uživatel kontejneru něco doinstaluje dodatečně, žádný sken image provedený před tou instalací to samozřejmě neodhalí. Ale článek ani já nepíšeme o nějaké dodatečné instalaci.