Esploristoj pri Sekurecaj Cisco vundebleco-informoj (CVE-2019-5021) en Alpa distribuo por la Docker-ujo izolita sistemo. La esenco de la identigita problemo estas, ke la defaŭlta pasvorto por la radika uzanto estis agordita al malplena pasvorto sen blokado de rekta ensaluto kiel radiko. Ni memoru, ke Alpine estas uzata por generi oficialajn bildojn el la projekto Docker (antaŭe oficialaj konstruaĵoj baziĝis sur Ubuntu, sed tiam estis sur Alpa).
La problemo ĉeestas ekde la konstruo de Alpine Docker 3.3 kaj estis kaŭzita de regresŝanĝo aldonita en 2015 (antaŭ versio 3.3, /etc/shadow uzis la linion "root:!::0:::::", kaj post la malrekomendiĝo de flago "-d" la linio "root:::0:::::") estis aldonita. La problemo estis komence identigita kaj en novembro 2015, sed en decembro denove erare en la konstrudosieroj de la eksperimenta branĉo, kaj tiam estis translokigita al stabilaj konstruoj.
La informo pri vundebleco deklaras, ke la problemo ankaŭ aperas en la plej nova branĉo de Alpine Docker 3.9. Alpaj programistoj en marto diakilo kaj vundebleco komencante kun konstruoj 3.9.2, 3.8.4, 3.7.3 kaj 3.6.5, sed restas en la malnovaj branĉoj 3.4.x kaj 3.5.x, kiuj jam estis ĉesigitaj. Krome, la programistoj asertas, ke la atakvektoro estas tre limigita kaj postulas, ke la atakanto havu aliron al la sama infrastrukturo.
fonto: opennet.ru