Los usuarios de Docker Hub están jugando a la ruleta rusa con Heartbleed, Poodle y Shellshock, de acuerdo con el análisis de varias imágenes recientemente lanzadas realizado por el equipo BanyanOps.

Según su publicación, más del 30 por ciento de los repositorios oficiales de Docker tienen imágenes de alto riesgo que incluyen las vulnerabilidades mencionadas. Para las imágenes "no oficiales" publicadas por terceros que "no están verificadas de manera explícita", la cifra es superior al 40 por ciento.

El sitio web The Regster califica la cifra como más deprimente que sorprendente, ya que la conveniencia de usar Docker (obtener una imagen desde el repositorio y usarla con un mínimo esfuerzo) se pierde si se tiene que analizar cada imagen antes de usarla.

BanyanOps 'Jayanth Gummaraju, Tarun Desikan y Yoshio Turner (cuyos antecedentes incluyen HP, VMware, los paquetes de OpenStack ElasticSwitch y Gatekeeper) escriben que analizaron alrededor de 960 imágenes en Docker Hub, 73 de las cuales fueron etiquetadas como "recientes".

Esas imágenes no son de nadie: incluyen nombres como Canonical, Debian y Red Hat, aunque el análisis no asocia vulnerabilidades con vendedores particulares.

De las imágenes creadas este año, BanyanOps reclama que el 75 por ciento tienen vulnerabilidades que podrían ser evaluadas con un impacto medio o alto; e incluso, con el análisis restringido sólo a las 73 imágenes "recientes", encontraron que 47 por ciento tienen errores de "prioridad alta" y 23 por ciento tienen errores "prioridad media".

Los tres paquetes con errores más comunes en las imágenes analizadas fueron Mercurial, la biblioteca ASN libtasn1-3 y OpenSSL.

"Algunas de las imágenes también contienen ShellShock bash (por ejemplo, Centos 5.11), que fue descubierto hace más de 7 meses", señala el post. "Incluso si las organizaciones no utilizan algunos de estos paquetes, no eliminarlos explícitamente de los contenedores podría hacerlos vulnerables a ataques maliciosos."