数百个Docker容器镜像中隐藏漏洞，下载量高达数十亿次

发布时间：2025-12-07 19:46:14 作者：玩站小弟

Rezilion发现了数百个Docker容器镜像的存在，这些镜像包含了大多数标准漏洞扫描器和SCA工具都没有检测到的漏洞。研究发现，数百个Docker容器镜像中隐藏着许多高危险性/关键性的漏洞，这些容。

Rezilion发现了数百个Docker容器镜像的数百存在，这些镜像包含了大多数标准漏洞扫描器和SCA工具都没有检测到的器镜漏洞。

研究发现，像中下载数百个Docker容器镜像中隐藏着许多高危险性/关键性的隐藏亿次漏洞，这些容器镜像的漏洞量高下载量合计达数十亿次。其中包括已被公开的达数高知名漏洞。

一些隐藏的数百漏洞在野外被积极利用，建站模板这些漏洞是器镜CISA已知被利用漏洞合集中的一部分，包括CVE-2021-42013、像中下载CVE-2021-41773、隐藏亿次CVE-2019-17558 。漏洞量高

经过研究发现漏洞存在的达数根本原因是无法检测未被软件包管理器管理的软件组件。

该研究解释了标准漏洞扫描器和SCA工具的数百固有操作方法是源码下载如何依靠从软件包管理器获取数据来了解扫描环境中存在哪些软件包的，这使得它们容易在多种常见情况下遗漏易受攻击的器镜软件包，即软件的像中下载部署方式规避了这些软件包管理器。

根据该报告，规避部署方式的软件包管理器在Docker容器中很常见。研究小组已经发现了超过10万个以绕过软件包管理器的方式部署代码的容器镜像，服务器租用包括DockerHub的大多数官方容器镜像。这些容器要么已经包含隐藏的漏洞，要么在其中一个组件的漏洞被发现后容易出现隐藏的漏洞。

研究人员确定了四种不同的情况，在这些情况下，软件的部署没有与软件包管理器进行交互，模板下载如应用程序本身、应用程序所需的运行、应用程序工作所需的依赖性，以及在容器镜像构建过程结束时没有删除的应用程序部署，并展示了隐藏的漏洞如何找到容器镜像。

"我们希望这项研究能让开发者和安全从业者了解这一漏洞的存在，这样他们就能采取适当的高防服务器行动来减少风险，并推动供应商和开源项目增加对这些类型场景的支持，"Rezilion公司漏洞研究部主任Yotam Perkal说。"

最后需要提醒大家的是，只要漏洞扫描程序和SCA工具无法适应这些情况，任何以这种方式安装软件包或可执行文件的容器映像最终都可能包含隐藏漏洞。

Tag：

系统性能指标：洞察系统运行的关键脉搏
在当今数字时代，软件系统在我们的生活和工作中发挥着越来越重要的作用。我们需要确保这些系统能够在高负载、高并发的情况下稳定运行，为用户提供良好的体验。为了实现这一目标，我们需要关注系统性能监控指标，洞察
2025-12-07
大语言模型的七大网络安全热门应用
在这个网络威胁攻防日益失衡的时代，飞速发展的人工智能和大型语言模型(LLM)正成为推动网络安全变革的颠覆性力量。面对新兴威胁，人工智能正推动网络安全转向主动、智能防御。人工智能与人类专业知识的结合才是
2025-12-07
人工智能的数字盾牌：提高基础设施网络安全的策略
在技术创新的时代，人工智能(AI)作为一股变革力量脱颖而出。从个性化推荐到自动驾驶汽车，人工智能的潜力似乎是无限的。随着组织越来越依赖人工智能来增强运营，还必须解决一个关键问题：网络安全。本文探讨了人
2025-12-07
服务器端模板注入漏洞简介
译者 | 刘涛审校 | 重楼服务器端模板注入SSTI）漏洞是网络应用安全中不太为人所知的一种漏洞类型。尽管这些漏洞很少见，但一旦被发现，其影响往往非常严重，通常会导致远程代码执行RCE）。本文旨在揭示
2025-12-07
CannonDesign遭受Avos Locker勒索软件攻击，1.3万名客户数据泄露
近日，美国知名建筑设计、工程和咨询公司 CannonDesign 正在向超过 1.3 万名客户发出数据泄露通知。通知中指出，2023 年初，黑客通过一次攻击侵入了公司网络并窃取了数据。CannonDe
2025-12-07
安全软件生命周期之规范性安全软件生命周期流程： SAFE Code
2.1.3SAFE Code软件保障卓越代码论坛SAFECode）是一个非营利性、全球性、行业主导的组织，致力于通过推进有效的软件保障方法。SAFECode的使命是推广开发和提供更安全、更可靠的软件、
2025-12-07