باحثو الأمن في سيسكو معلومات الضعف (CVE-2019-5021) في توزيع جبال الألب لنظام عزل الحاويات Docker. جوهر المشكلة التي تم تحديدها هو أن كلمة المرور الافتراضية للمستخدم الجذر تم تعيينها على كلمة مرور فارغة دون حظر تسجيل الدخول المباشر كجذر. دعونا نتذكر أن Alpine يُستخدم لإنشاء صور رسمية من مشروع Docker (كانت الإصدارات الرسمية سابقًا تعتمد على Ubuntu، ولكن بعد ذلك كانت هناك على جبال الألب).
كانت المشكلة موجودة منذ إنشاء Alpine Docker 3.3 وكان سببها تغيير الانحدار الذي تمت إضافته في عام 2015 (قبل الإصدار 3.3، استخدم /etc/shadow السطر "root:!::0:::::"، وبعد إهمال العلم "-d" بدأ إضافة السطر "root:::0:::::". تم تحديد المشكلة في البداية و في نوفمبر 2015، ولكن في ديسمبر عن طريق الخطأ مرة أخرى في ملفات البناء الخاصة بالفرع التجريبي، ومن ثم تم نقلها إلى الإصدارات المستقرة.
تشير معلومات الثغرة الأمنية إلى أن المشكلة تظهر أيضًا في أحدث فرع من Alpine Docker 3.9. مطوري جبال الألب في مارس التصحيح والضعف بدءًا من الإصدارات 3.9.2 و3.8.4 و3.7.3 و3.6.5، ولكنها تظل في الفروع القديمة 3.4.x و3.5.x، والتي تم إيقافها بالفعل. بالإضافة إلى ذلك، يدعي المطورون أن ناقل الهجوم محدود للغاية ويتطلب من المهاجم الوصول إلى نفس البنية التحتية.
المصدر: opennet.ru