Las imágenes oficiales de Docker Alpine Linux, a partir de la versión 3.3, contienen una contraseña de root vacía. Cuando se utiliza PAM u otro mecanismo de autenticación que utiliza el archivo /etc/shadow como fuente, el sistema puede permitir que el usuario root inicie sesión con una contraseña en blanco. Actualice la versión de la imagen base o edite el archivo /etc/shadow manualmente.
La vulnerabilidad se ha solucionado en versiones:
- borde (instantánea 20190228)
- v3.9.2
- v3.8.4
- v3.7.3
- v3.6.5
Fuente: linux.org.ru