Cisco Sekuriteitsnavorsers kwesbaarheidsinligting (CVE-2019-5021) in Alpynse verspreiding vir die Docker-houer-isolasiestelsel. Die kern van die geïdentifiseerde probleem is dat die verstekwagwoord vir die wortelgebruiker op 'n leë wagwoord gestel is sonder om direkte aanmelding as wortel te blokkeer. Kom ons onthou dat Alpine gebruik word om amptelike beelde van die Docker-projek te genereer (voorheen was amptelike bouwerk op Ubuntu gebaseer, maar toe was daar op Alpine).
Die probleem is aanwesig sedert die Alpine Docker 3.3-bou en is veroorsaak deur 'n regressieverandering wat in 2015 bygevoeg is (voor weergawe 3.3, het /etc/shadow die reël "root:!::0:::::" gebruik, en na die verval van vlag "-d" die reël "root:::0:::::" begin bygevoeg word. Die probleem is aanvanklik geïdentifiseer en in November 2015, maar in Desember per abuis weer in die boulêers van die eksperimentele tak, en is dan oorgedra na stabiele boustukke.
Die kwesbaarheidsinligting lui dat die probleem ook in die nuutste tak van Alpine Docker 3.9 verskyn. Alpine ontwikkelaars in Maart pleister en kwesbaarheid begin met bouwerk 3.9.2, 3.8.4, 3.7.3 en 3.6.5, maar bly in die ou takke 3.4.x en 3.5.x, wat reeds gestaak is. Daarbenewens beweer die ontwikkelaars dat die aanvalvektor baie beperk is en vereis dat die aanvaller toegang tot dieselfde infrastruktuur moet hê.
Bron: opennet.ru