docker-logo-blog-header

Am Abend des 06. September wurde eine Lücke im App Center Repository Server bekannt, die eine Manipulation von Docker Images für Docker-basierte Apps ermöglichte. Die Lücke bestand darin, dass die Docker Registry für das Univention App Center für den anonymen Push von Docker Images offen war. Das Problem wurde am darauf folgenden Tag behoben, indem der anonyme Push wieder gesperrt wurde.

Die Univention Docker Registry ist Teil des App Center Repository und Downloadquelle für die Docker-basierten Apps im App Center. Ein anonymer Push bedeutet, dass ein potenzieller Angreifer eigene Docker Images in die Registry hätte hochladen oder bestehende Images ersetzen und somit Apps manipulieren können. Wir haben bislang keinen Anhaltspunkt, dass die Lücke ausgenutzt und dadurch Apps manipuliert wurden.

Ursache für die Lücke ist eine Fehlkonfiguration der Univention Docker Registry. Das App Center Team führt aktuell Analysen durch, um zu prüfen, ob Pushes außerhalb von Univention stattgefunden haben. Des Weiteren wird sichergestellt, dass die bereitgestellten Images den Originalen entsprechen und keine Manipulation vorliegt. Diese Arbeiten laufen noch.

Für Administratoren von UCS-Umgebungen besteht derzeit kein Handlungsbedarf.

Um eine künftige Konfiguration auszuschließen, die einen erneuten anonymen Push erlaubt, wurde bereits ein automatisierter Test implementiert, der die Univention Docker Registry regelmäßig überprüft.

Wir werden über den Fortschritt der Arbeiten hier im Blog berichten.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Nico Gulden studierte angewandte Informatik und arbeitet seit 2010 bei Univention. Er ist verantwortlich für das Produkt Management und das Relationship-Management der App-Hersteller im Univention App Center. In seiner Freizeit widmet er sich seiner Familie, dem Lesen, der Bewegung an der frischen Luft zum Fotografieren, Geocaching oder Mapping für das OpenStreetMap Projekt.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. Wir haben die Logdateien der Univention Docker Registry ausgewertet und auf auffällige Push-Operationen untersucht. Wir konnten keine unerwünschten Image Pushes identifizieren.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.