“在未经授权访问DockerHub数据库的短暂时间内，大约有190,000个帐户的敏感数据可能已暴露(不到5%的Hub用户)，”Docker支持总监KentLamb在发送给Docker的电子邮件中写道Hub用户。“数据包括这些用户中的一小部分用户名和散列密码，以及Dockerautobuild的GitHub和Bitbucket令牌。”

泊坞枢纽是推出在2014年6月由码头工人一起公司公司的泊坞1.0版本。由于DockerCon会议将于4月30日在旧金山举行，因此新数据泄露事件对Docker来说尤为不合时宜。

违反影响

根据Docker的说法，数据泄露涉及未经授权访问单个DockerHub数据库，该数据库仅存储非财务用户数据的子集。目前尚不清楚违规行为是如何发生的，或者攻击者可能有多长时间未经授权访问。

DockerHub包含许多不同类型的应用程序映像，并被各种用户使用。Docker在常见问题解答中强调了没有官方应用程序图像被泄露的事件。官方图片是Docker及其合作伙伴开发的图片，受益于额外的真实性和审查。

“我们为官方图像制定了额外的安全措施，包括git提交上的GPG签名以及公证人签名，以确保每个图像的完整性，”Docker说。

公证是一种代码签名技术，它利用开源的更新框架(TUF)，它提供多层验证和检查，以帮助维护应用程序映像及其更新的安全性和真实性。

这种漏洞对于开发人员尤为重要，而不仅仅是DockerHub的常规用户。

“对于所有DockerHub用户，不需要采取任何措施来保护您的安全，”Docker表示。“密码重置链接已发送给可能泄露密码哈希的任何用户。”

Docker被广泛用作DevOps工具链的一部分，其中在GitHub和Bitbucket上开发的代码会定期自动构建，容器映像会自动部署到DockerHub，作为构建过程的一部分。

“具有autobuild并且已经将GitHub或Bitbucket存储库取消链接的用户将需要重新链接这些存储库，”Docker说。

分析

“这次袭击可能会产生相当大的影响-但现在要知道这一点还为时尚早，”Twistlock首席技术官JohnMorello在一篇博文中写道。“访问Hub帐户意味着对repos的读/写访问权限，互联网上的任何人都可以通过简单的dockerpullmyrepo/myimage轻松重复使用。”

Morello补充说，任何将其帐户连接到GitHub的DockerHub用户都应该查看访问权限以识别任何潜在的异常情况。

总体而言，Docker建议受影响的用户：

更改其DockerHub帐户密码。

查看GitHub活动。

取消链接，然后重新链接GitHub访问权限。