Investigadors de seguretat de Cisco informació de vulnerabilitat (CVE-2019-5021) a Distribució alpina per al sistema d'aïllament de contenidors Docker. L'essència del problema identificat és que la contrasenya predeterminada per a l'usuari root es va establir en una contrasenya buida sense bloquejar l'inici de sessió directe com a root. Recordem que Alpine s'utilitza per generar imatges oficials del projecte Docker (abans les compilacions oficials es basaven en Ubuntu, però després hi havia a Alpine).
El problema ha estat present des de la compilació Alpine Docker 3.3 i va ser causat per un canvi de regressió afegit el 2015 (abans de la versió 3.3 /etc/shadow utilitzava la línia "root:!::0:::::", i després del obsoletació del senyalador "-d" es va començar a afegir la línia "root:::0:::::". El problema es va identificar inicialment i al novembre del 2015, però al desembre de nou per error als fitxers de compilació de la branca experimental i després es va transferir a compilacions estables.
La informació de vulnerabilitat indica que el problema també apareix a l'última branca d'Alpine Docker 3.9. Desenvolupadors alpins al març pegat i vulnerabilitat començant amb les versions 3.9.2, 3.8.4, 3.7.3 i 3.6.5, però es manté a les branques antigues 3.4.x i 3.5.x, que ja s'han aturat. A més, els desenvolupadors afirmen que el vector d'atac és molt limitat i requereix que l'atacant tingui accés a la mateixa infraestructura.
Font: opennet.ru