Cisco Security Researchers infurmazione di vulnerabilità (CVE-2019-5021) in Distribuzione alpina per u sistema di isolamentu di u containeru Docker. L'essenza di u prublema identificatu hè chì a password predeterminata per l'utilizatore root hè stata stabilita in una password viota senza bluccà u login direttu cum'è root. Ricurdemu chì Alpine hè aduprata per generà imaghjini ufficiali da u prughjettu Docker (precedentemente e custruzzioni ufficiali eranu basate nantu à Ubuntu, ma dopu ci era in Alpine).
U prublema hè stata prisente da a custruzione Alpine Docker 3.3 è hè stata causata da un cambiamentu di regressione aghjuntu in 2015 (prima di a versione 3.3, /etc/shadow hà utilizatu a linea "root:!::0:::::", è dopu à deprecazione di bandiera "-d" a linea "root:::0:::::" cuminciò à esse aghjuntu. U prublema hè stata inizialmente identificata è in nuvembre 2015, ma in dicembre per sbagliu di novu in i schedarii di custruzzione di u ramu spirimintali, è dopu hè stata trasferita à custruzzioni stabile.
L'infurmazione di vulnerabilità dichjara chì u prublema si prisenta ancu in l'ultimu ramu di Alpine Docker 3.9. Sviluppatori alpini in marzu patch è vulnerabilità accuminciannu cu builds 3.9.2, 3.8.4, 3.7.3 è 3.6.5, ma ferma in i vechji rami 3.4.x è 3.5.x, chì sò digià discontinued. Inoltre, i sviluppatori dichjaranu chì u vettore d'attaccu hè assai limitatu è esige chì l'attaccante hà accessu à a listessa infrastruttura.
Source: opennet.ru