Offizielle Docker Alpine Linux-Images enthalten ab Version 3.3 ein leeres Root-Passwort. Bei Verwendung von PAM oder einem anderen Authentifizierungsmechanismus, der die Datei /etc/shadow als Quelle verwendet, kann es sein, dass das System dem Root-Benutzer erlaubt, sich mit einem leeren Passwort anzumelden. Aktualisieren Sie die Basis-Image-Version oder bearbeiten Sie die Datei /etc/shadow manuell.
Die Schwachstelle wurde in folgenden Versionen behoben:
- Kante (20190228 Schnappschuss)
- v3.9.2
- v3.8.4
- v3.7.3
- v3.6.5
Source: linux.org.ru