Software::Container
Studie zur Sicherheit von Docker-Images belegt Sicherheitsprobleme
Eine Studie der Firma BanyanOps zur Sicherheit von Docker-Images im zentralen Repositorium Docker-Hub ergab eine hohe Quote an verwundbaren Images und Paketen.
Docker-Hub ist ein Repositorium für Docker-Images von Firmen, Distributionen oder Einzelpersonen. Hier kann jeder kostenfrei Docker-Images einstellen, die Anwender sich von dort herunterladen. Derzeit liegen dort annähernd 100.000 Images. Seit einiger Zeit unterstützt Docker dort auch sogenannte offizielle Repositorien, deren Images einen Review-Prozess durchlaufen. Davon gibt es derzeit rund 100 mit etwa 1.000 Images.
BanyanOps stellte bei seinen Tests fest, dass generell über ein Drittel der eingestellten Images empfänglich für Sicherheitsrisiken wie Shellshock, Heartbleed, Poodle und andere ist. Zum Testen diente ein Auszug aus dem Hub vom 20. Mai. Stichproben an einigen anderen Tagen brachten vergleichbare Ergebnisse. Die Macher der Studie räumen eine mögliche Fehlerquote von bis zu drei Prozent ein.
Für die Studie wurden Images heruntergeladen und die Versionen der enthaltenen Pakete inspiziert. Diese wurden dann mit Datenbanken bei Mitre, NVD und mit Informationen direkt von den Distributionen abgeglichen, um Verwundbarkeiten in den Paketen zu bestimmen.
Die Ergebnisse der einzelnen getesteten Sparten im Einzelnen belegen, dass bei aktuellen Images die Zahlen besser sind als bei älteren Images, aber immer noch viel zu vielen Sicherheitsrisiken Vorschub leisten. Betrachtet man die offiziellen Repos, so zeigten sich bei 962 Images 36 Prozent als hochverwundbar, 64 Prozent enthielten ein mittleres Risiko. Bei in diesem Jahre erstellten Abbildern lagen die Zahlen bei 40 und 74 Prozent, lediglich bei mit »latest« gekennzeichneten Images sah es mit 23 und 47 Prozent etwas besser aus. Die offiziellen Images haben teilweise Downloadraten von mehreren Hunderttausend. Bei den verwundbaren Paketen in dieser Kategorie sticht Mercurial heraus, OpenSSL, SQLite, Binutils und Apt sind weitere Kandidaten.
Der Test im generellen Repositorium ergab noch schlechtere Werte. Von 1694 überprüften Images zeigten 40 Prozent Anfälligkeiten für Verwundbarkeiten mit hohem Risiko und 75 Prozent waren anfällig für Risiken der mittleren Gefahrenstufe. Bei den 1163 getesteten Images, die 2015 angelegt wurden, betrugen die Werte 31 und 73 Prozent, bei 811 als aktuell gekennzeichneten Abbildern sogar 37 und 74 Prozent. Hier lagen bei den anfälligen Apps Bash, Apt und OpenSSL an der Spitze.
Die schlechten Ergebnisse dieser Studie untermauern Bedenken, die von verschiedenen Seiten in letzter Zeit gegen das Sicherheitsmodell von Docker vorgebracht wurden. Die schiere Zahl an Images, die keinerlei Kontrolle unterliegen, tragen nicht dazu bei, dass die Abbilder immer aktuell gehalten werden. Docker bietet für Unternehmen auch private Docks an. Die Folgerung von BanyanOps geht dahin, dass hier die Zahlen ähnlich liegen, aber auf einem niedrigeren Niveau.
