Cisco turvateadlased haavatavuse teave (CVE-2019-5021) sisse Alpide jaotus Dockeri konteineri isolatsioonisüsteemi jaoks. Tuvastatud probleemi olemus seisneb selles, et juurkasutaja vaikeparool määrati tühjaks parooliks, ilma et oleks blokeeritud otsene juurkasutaja sisselogimine. Meenutagem, et Alpine’i kasutatakse Dockeri projektist ametlike piltide genereerimiseks (varem põhinesid ametlikud buildid Ubuntul, aga siis olid Alpides).
Probleem on ilmnenud alates Alpine Docker 3.3 järgust ja selle põhjustas 2015. aastal lisatud regressioonimuudatus (enne versiooni 3.3 kasutas /etc/shadow rida "root:!::0:::::" ja pärast lipu “-d” deprekatsioon hakati lisama rida “root:::0:::::”. Probleem tuvastati algselt ja novembris 2015, kuid detsembris kogemata uuesti katseharu ehitusfailides ja seejärel viidi üle stabiilsetesse ehitustesse.
Haavatavuse teabes öeldakse, et probleem ilmneb ka Alpine Dockeri 3.9 uusimas harus. Alpine arendajad märtsis plaaster ja haavatavus alustades ehitustega 3.9.2, 3.8.4, 3.7.3 ja 3.6.5, kuid jääb vanadesse harudesse 3.4.x ja 3.5.x, mille tootmine on juba lõpetatud. Lisaks väidavad arendajad, et ründevektor on väga piiratud ja nõuab ründajalt juurdepääsu samale infrastruktuurile.
Allikas: opennet.ru