7月25日讯Twitter存在高危漏洞，攻击者能从服务器下载Vine（Vine是微软公司开发基于地理位置的SNS系统）全部源代码，此后Twitter花5分钟时间修复了该漏洞。

安全研究员Avicoder发现这个漏洞，并于3月31日向Twitter反映情况。漏洞的核心在于Twitter员工使用不安全的Docker设置管理Vine的内容。

　　联网Docker安装泄露Vine源代码

Docker是管理服务器镜像、创建、输送和管理应用程序的开放式平台。Docker可用来配置笔记本电脑、虚拟机或云服务等的OS镜像。

通常，由于Docker安装处理的内容敏感，因此Docker安装不供开放使用。Twitter的Docker安装则允许Avicoder探测查看能发现的一切。

更糟的是，Twitter未运行最新版的Docker（v2），而是用的旧API，v1。通过Docker API v1文档网站，Avicoder尝试所有能找到的命令发现可以执行的操作。

Avicoder发现一系列命令可用，包括搜索和检索Twitter Docker设置的内容。

研究员从Twitter Vine服务器下载超过80 个Docker镜像

Avicoder能从Twitter Docker安装发现并下载超过80个服务器镜像。

Avicoder使用本地Docker客户端在笔记本电脑安装数个这些OS镜像后，他发现其中一个服务器镜像包含Vine服务的全部源代码。

Avicoder解释道，“我能看到Vine的全部源代码、API密钥以及第三方密钥和秘密数据。甚至运行镜像不需要任何参数，我能在本地托管Vine的副本。”

Avicoder向Twitter报告了漏洞，5分钟后，Docker安装被安全保护。Twitter为Avicoder给予10,080美元的漏洞报告奖金。

====================================分割线================================

本文转自d1net（转载）