Cisco Security Researchers informacije o ranjivosti (CVE-2019-5021) u Alpine distribucija za Docker sistem izolacije kontejnera. Suština identifikovanog problema je da je podrazumevana lozinka za root korisnika postavljena na praznu lozinku bez blokiranja direktne prijave kao root. Podsjetimo se da se Alpine koristi za generiranje službenih slika iz Docker projekta (ranije su službene verzije bile bazirane na Ubuntuu, ali su tada postojale na Alpine).
Problem je prisutan od Alpine Docker 3.3 build-a i uzrokovan je promjenom regresije koja je dodata 2015. (prije verzije 3.3, /etc/shadow je koristio liniju "root:!::0:::::", a nakon zastarelost zastavice “-d” počela je da se dodaje red “root:::0:::::”. Problem je prvobitno identifikovan i u novembru 2015., ali opet greškom u decembru u build fajlovima eksperimentalne grane, a zatim je prebačen u stabilne verzije.
Informacije o ranjivosti navode da se problem pojavljuje iu najnovijoj grani Alpine Docker 3.9. Alpine programeri u martu zakrpa i ranjivost počevši od build-ova 3.9.2, 3.8.4, 3.7.3 i 3.6.5, ali ostaje u starim granama 3.4.x i 3.5.x, koje su već prekinute. Osim toga, programeri tvrde da je vektor napada vrlo ograničen i zahtijeva da napadač ima pristup istoj infrastrukturi.
izvor: opennet.ru