Die offiziellen Docker Alpine Linux-Images ab Version 3.3 enthalten ein leeres Passwort für den Superuser. Bei Verwendung von PAM oder einem anderen Authentifizierungsmechanismus, der die Datei /etc/shadow als Quelle nutzt, könnte das System den Zugang für den Root-Benutzer mit einem leeren Passwort erlauben. Aktualisieren Sie die Basis-Image-Version oder ändern Sie die Datei /etc/shadow manuell.
Die Schwachstelle wurde in den folgenden Versionen behoben:
- edge (20190228 Snapshot)
- v3.9.2
- v3.8.4
- v3.7.3
- v3.6.5
Quelle: linux.org.ru
