Cisco ደህንነት ተመራማሪዎች የተጋላጭነት መረጃ (CVE-2019-5021) በ ለዶከር ኮንቴይነር ማግለል ስርዓት የአልፕስ ስርጭት. የችግሩ ዋና ይዘት የስር ተጠቃሚው ነባሪ የይለፍ ቃል በቀጥታ መግባትን እንደ root ሳይከለክል ወደ ባዶ የይለፍ ቃል መዘጋጀቱ ነው። እናስታውስ አልፓይን ከዶከር ፕሮጀክት ኦፊሴላዊ ምስሎችን ለማመንጨት ጥቅም ላይ ይውላል (ቀደም ሲል ኦፊሴላዊ ግንባታዎች በኡቡንቱ ላይ የተመሰረቱ ነበሩ ፣ ግን ከዚያ በኋላ ነበሩ በአልፓይን ላይ).
ችግሩ ከአልፓይን ዶከር 3.3 ግንባታ ጀምሮ የነበረ ሲሆን በ2015 በተጨመረው የተሃድሶ ለውጥ (ከሥሪት 3.3 በፊት፣ /ወዘተ/ጥላ) "ሥር" የሚለውን መስመር ተጠቅሟል። ባንዲራ "-d" የሚለው መስመር "ሥር:: 0::::" መጨመር ጀመረ. ችግሩ መጀመሪያ ላይ ተለይቷል እና በኖቬምበር 2015, ግን በታህሳስ ውስጥ እንደገና በስህተት በሙከራው ቅርንጫፍ ግንባታ ፋይሎች ውስጥ, ከዚያም ወደ ቋሚ ግንባታዎች ተላልፏል.
የተጋላጭነት መረጃው ችግሩ በአዲሱ የአልፕይን ዶከር 3.9 ቅርንጫፍ ላይም እንደሚታይ ይገልጻል። በመጋቢት ውስጥ የአልፓይን ገንቢዎች ማጣበቂያ እና ተጋላጭነት ጀምሮ 3.9.2, 3.8.4, 3.7.3 እና 3.6.5 ይገነባል, ነገር ግን ቀደም ሲል የተቋረጠ አሮጌው ቅርንጫፎች 3.4.x እና 3.5.x ውስጥ ይቀራል. በተጨማሪም ገንቢዎቹ የጥቃት ቬክተር በጣም የተገደበ እና አጥቂው ተመሳሳይ መሠረተ ልማቶችን እንዲያገኝ ይጠይቃሉ.
ምንጭ: opennet.ru