7
Docker-Hub - Millionen von Repositories verseucht!
Moin Zusammen,
so wie es aktuell aussieht, wurden wohl etwa 2,8 Millionen Docker-Hub-Repositories, mit Malware oder Phishing verseucht. 😔
Weitere Infos:
https://www.heise.de/news/2-8-Millionen-Docker-Hub-Repositories-mit-Malw ...
https://www.security-insider.de/malware-angriffe-docker-hub-neue-erkennt ...
Gruss Alex
so wie es aktuell aussieht, wurden wohl etwa 2,8 Millionen Docker-Hub-Repositories, mit Malware oder Phishing verseucht. 😔
Weitere Infos:
https://www.heise.de/news/2-8-Millionen-Docker-Hub-Repositories-mit-Malw ...
https://www.security-insider.de/malware-angriffe-docker-hub-neue-erkennt ...
Gruss Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71884475710
Url: https://administrator.de/contentid/71884475710
Printed on: June 7, 2024 at 04:06 o'clock
7 Comments
Latest comment
Guten Morgen,
danke für die Info.
Ist aber nichts neues bzw. wundert micht nicht. Aber das wichtige ist ja..... " Jeder Klicki Bunti Admin kann irgendwelche Apps oder Tools per OneClick ausrollen"
/IRONIEOFF
Gruß und Guten Start in die Woche
danke für die Info.
Ist aber nichts neues bzw. wundert micht nicht. Aber das wichtige ist ja..... " Jeder Klicki Bunti Admin kann irgendwelche Apps oder Tools per OneClick ausrollen"
/IRONIEOFF
Gruß und Guten Start in die Woche
1
Moin,
Wundert mich nicht. Heutige point-And-Click-Admins schauen sich ja gar nicht mehr an was sie sich auf ihr System holen. Es wird ja nicht einmal mit Schlangenöl eingesalbt, bevor es produktiv geht.
lks
Wundert mich nicht. Heutige point-And-Click-Admins schauen sich ja gar nicht mehr an was sie sich auf ihr System holen. Es wird ja nicht einmal mit Schlangenöl eingesalbt, bevor es produktiv geht.
lks
2Eigene Nase?
Tatsache ist, daß heutzutage keiner mehr sich anschaut, was er sich mit einem"one-click-install-tool" sich auf das System holt. Wann hast Du das letzte mal in deinen Docker-Container gheschaut, ob alle bibliotheken auf dem neusten Stand sind und ob die auch korrekt aus den Sourcen erstellt wurden.Oder wenigstens geprüft, ob das Install- oder Setup-Skript nichts anders macht als die korrekten Module zu installieren. Und das so eine Plattform auf der mehr oder weniger jeder seinen Müll reinkippen kann auch Rattenfänger anzieht, dürfte auch keinen verwundern.
Mich wundert es eher, daß bisher so wenig passiert.
lks
2
Moin @Lochkartenstanzer,
Eigene Nase?
Tatsache ist, daß heutzutage keiner mehr sich anschaut, was er sich mit einem"one-click-install-tool" sich auf das System holt.
ich bin ja meistens bei dir, aber mit dem "Klick Bunti Admins" bist du (und auch @tech-flare), meiner Ansicht nach hier etwas über das Ziel hinausgeschossen.
Denn das Grundproblem wird meiner Erfahrung nach nicht wirklich von den Admins verursacht, zumindest nicht hauptsächlich, sondern eher von den neumodischen "Klick Bunti Developern", die die Programme nicht mehr selber schreiben, also im Sinnen von selber den Quellcode dafür schreiben (denn sie dann auch zwangsweise selber verstehen müssten), sondern sich diesen eher aus einem vorgefertigten Baukasten zusammenclickern, oder noch besser/neumodischen, gleich von einer AI komplett erstellen lassen. 😔
Gruss Alex
Eigene Nase?
Tatsache ist, daß heutzutage keiner mehr sich anschaut, was er sich mit einem"one-click-install-tool" sich auf das System holt.
ich bin ja meistens bei dir, aber mit dem "Klick Bunti Admins" bist du (und auch @tech-flare), meiner Ansicht nach hier etwas über das Ziel hinausgeschossen.
Denn das Grundproblem wird meiner Erfahrung nach nicht wirklich von den Admins verursacht, zumindest nicht hauptsächlich, sondern eher von den neumodischen "Klick Bunti Developern", die die Programme nicht mehr selber schreiben, also im Sinnen von selber den Quellcode dafür schreiben (denn sie dann auch zwangsweise selber verstehen müssten), sondern sich diesen eher aus einem vorgefertigten Baukasten zusammenclickern, oder noch besser/neumodischen, gleich von einer AI komplett erstellen lassen. 😔
Gruss Alex
Hallo zusammen,
kommt dieses bashing hier davon wenn nur noch die Überschriften gelesen werden?
Im Artikel von heise:
weiter unten im Text bei heise:
im zweiten verlinkten Artikel steht es sogar in der Überschrift:
Sorry, aber isso!
Hier widersprichst du aber dem Grundgedanken von Open Source! Wiederverwendung von Code in Form von Libraries gab es schon immer, diese zu verwenden setzt nicht unbedingt voraus jede Zeile darin komplett verstanden zu haben. Das hat aber nur bedingt was mit Docker bzw. Containerisierung zu tun, dabei handelt es sich primär um Werkzeug um Laufzeitumgebungen für Programme (und damit diese selbst) bereitzustellen.
MfG pantox
kommt dieses bashing hier davon wenn nur noch die Überschriften gelesen werden?
Im Artikel von heise:
JFrog hat bei einer im Rahmen einer Partnerschaft mit Docker durchgeführten Analyse festgestellt, dass 4,6 Millionen der 15 Millionen Repos gar kein Image enthalten, sondern nur die Beschreibung. Knapp drei Millionen von diesen dienten schädlichen Zwecken, wurden inzwischen aber gelöscht.
weiter unten im Text bei heise:
Die Hacker konnten es sich zunutze machen, dass Docker zwar Images auf Schadcode prüft, jedoch nicht die Metadaten.
im zweiten verlinkten Artikel steht es sogar in der Überschrift:
Millionen Repositories sind mit bösartigen Metadaten kompromittiert
Sorry, aber isso!
Zitat von @MysticFoxDE:
Denn das Grundproblem wird meiner Erfahrung nach nicht wirklich von den Admins verursacht, zumindest nicht hauptsächlich, sondern eher von den neumodischen "Klick Bunti Developern", die die Programme nicht mehr selber schreiben, also im Sinnen von selber den Quellcode dafür schreiben (denn sie dann auch zwangsweise selber verstehen müssten), sondern sich diesen eher aus einem vorgefertigten Baukasten zusammenclickern, oder noch besser/neumodischen, gleich von einer AI komplett erstellen lassen. 😔
Denn das Grundproblem wird meiner Erfahrung nach nicht wirklich von den Admins verursacht, zumindest nicht hauptsächlich, sondern eher von den neumodischen "Klick Bunti Developern", die die Programme nicht mehr selber schreiben, also im Sinnen von selber den Quellcode dafür schreiben (denn sie dann auch zwangsweise selber verstehen müssten), sondern sich diesen eher aus einem vorgefertigten Baukasten zusammenclickern, oder noch besser/neumodischen, gleich von einer AI komplett erstellen lassen. 😔
Hier widersprichst du aber dem Grundgedanken von Open Source! Wiederverwendung von Code in Form von Libraries gab es schon immer, diese zu verwenden setzt nicht unbedingt voraus jede Zeile darin komplett verstanden zu haben. Das hat aber nur bedingt was mit Docker bzw. Containerisierung zu tun, dabei handelt es sich primär um Werkzeug um Laufzeitumgebungen für Programme (und damit diese selbst) bereitzustellen.
MfG pantox
Moin @pantox,
dir ist aber schon klar, dass von der Wirkung/dem Schaden her gesehen, es vollkommen egal ist ob der Schädling im Quellcode selber drin steckt, oder in dessen Metadaten. 🤨
Und bei einem Befall von über 20%, darf man sehr wohl etwas rumlästern.
Hier widersprichst du aber dem Grundgedanken von Open Source! Wiederverwendung von Code in Form von Libraries gab es schon immer, diese zu verwenden setzt nicht unbedingt voraus jede Zeile darin komplett verstanden zu haben.
Ah ja ... und ich dachte bisher immer, dass Open Source in erster Linie dafür stehen würde, dass der gesamte Quellcode, und mit gesamten Quellcode meine ich auch dessen Metadaten, offen für jedermann einsehbar sind, um in erster Linie diesen z.B. auf Sicherheitslücken prüfen zu können.
Auch der BSI ist übrigens einer ähnlichen Meinung.
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Infor ...
Wenn Open Source jedoch dafür stehen sollte, dass die Entwickler überwiegend und ohne den Code dahinter zu verstehen, sich einfach was per Baukasten zusammenclickert und gut ist, dann gute Nacht.
Übrigens, was bei diesem ganzen Softwarezusammengecklickere und trotz weitestgehend offenem Quellcode und auch bei Open Source alles geschehen kann, haben wir erst jüngst an Ostern (XZ Backdoor) erleben dürfen. 😔
Und nein, wir Admins tragen an diesem ganzen Bullshit ganz sicher nicht die Hauptschuld, müssen diesen aber trotzdem fast jeden Tag mit ausbaden. 😡
Gruss Alex
kommt dieses bashing hier davon wenn nur noch die Überschriften gelesen werden?
Im Artikel von heise:
weiter unten im Text bei heise:
im zweiten verlinkten Artikel steht es sogar in der Überschrift:
Sorry, aber isso!
Im Artikel von heise:
JFrog hat bei einer im Rahmen einer Partnerschaft mit Docker durchgeführten Analyse festgestellt, dass 4,6 Millionen der 15 Millionen Repos gar kein Image enthalten, sondern nur die Beschreibung. Knapp drei Millionen von diesen dienten schädlichen Zwecken, wurden inzwischen aber gelöscht.
weiter unten im Text bei heise:
Die Hacker konnten es sich zunutze machen, dass Docker zwar Images auf Schadcode prüft, jedoch nicht die Metadaten.
im zweiten verlinkten Artikel steht es sogar in der Überschrift:
Millionen Repositories sind mit bösartigen Metadaten kompromittiert
Sorry, aber isso!
dir ist aber schon klar, dass von der Wirkung/dem Schaden her gesehen, es vollkommen egal ist ob der Schädling im Quellcode selber drin steckt, oder in dessen Metadaten. 🤨
Und bei einem Befall von über 20%, darf man sehr wohl etwas rumlästern.
Zitat von @MysticFoxDE:
Denn das Grundproblem wird meiner Erfahrung nach nicht wirklich von den Admins verursacht, zumindest nicht hauptsächlich, sondern eher von den neumodischen "Klick Bunti Developern", die die Programme nicht mehr selber schreiben, also im Sinnen von selber den Quellcode dafür schreiben (denn sie dann auch zwangsweise selber verstehen müssten), sondern sich diesen eher aus einem vorgefertigten Baukasten zusammenclickern, oder noch besser/neumodischen, gleich von einer AI komplett erstellen lassen. 😔
Denn das Grundproblem wird meiner Erfahrung nach nicht wirklich von den Admins verursacht, zumindest nicht hauptsächlich, sondern eher von den neumodischen "Klick Bunti Developern", die die Programme nicht mehr selber schreiben, also im Sinnen von selber den Quellcode dafür schreiben (denn sie dann auch zwangsweise selber verstehen müssten), sondern sich diesen eher aus einem vorgefertigten Baukasten zusammenclickern, oder noch besser/neumodischen, gleich von einer AI komplett erstellen lassen. 😔
Hier widersprichst du aber dem Grundgedanken von Open Source! Wiederverwendung von Code in Form von Libraries gab es schon immer, diese zu verwenden setzt nicht unbedingt voraus jede Zeile darin komplett verstanden zu haben.
Ah ja ... und ich dachte bisher immer, dass Open Source in erster Linie dafür stehen würde, dass der gesamte Quellcode, und mit gesamten Quellcode meine ich auch dessen Metadaten, offen für jedermann einsehbar sind, um in erster Linie diesen z.B. auf Sicherheitslücken prüfen zu können.
Auch der BSI ist übrigens einer ähnlichen Meinung.
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Infor ...
Wenn Open Source jedoch dafür stehen sollte, dass die Entwickler überwiegend und ohne den Code dahinter zu verstehen, sich einfach was per Baukasten zusammenclickert und gut ist, dann gute Nacht.
Übrigens, was bei diesem ganzen Softwarezusammengecklickere und trotz weitestgehend offenem Quellcode und auch bei Open Source alles geschehen kann, haben wir erst jüngst an Ostern (XZ Backdoor) erleben dürfen. 😔
Und nein, wir Admins tragen an diesem ganzen Bullshit ganz sicher nicht die Hauptschuld, müssen diesen aber trotzdem fast jeden Tag mit ausbaden. 😡
Gruss Alex
