Ciscon tietoturvatutkijat haavoittuvuustiedot (CVE-2019-5021) sisään Alppien jakelu Dockerin konttieristysjärjestelmään. Tunnistetun ongelman ydin on, että pääkäyttäjän oletussalasana asetettiin tyhjäksi salasanaksi estämättä suoraa sisäänkirjautumista root-käyttäjänä. Muistetaan, että Alpinea käytetään virallisten kuvien luomiseen Docker-projektista (aiemmin viralliset koontiversiot perustuivat Ubuntuun, mutta sitten oli Alpeilla).
Ongelma on ollut olemassa Alpine Docker 3.3 -koontiversiosta lähtien ja sen aiheutti vuonna 2015 lisätty regressiomuutos (ennen versiota 3.3 /etc/shadow käytti riviä "root:!::0:::::" ja sen jälkeen lipun "-d" poisto rivi "root:::0:::::" alkoi lisätä. Ongelma tunnistettiin alun perin ja marraskuussa 2015, mutta joulukuussa vahingossa uudelleen kokeellisen haaran koontitiedostoissa ja siirrettiin sitten vakaaihin koontiversioihin.
Haavoittuvuustiedoissa todetaan, että ongelma esiintyy myös Alpine Docker 3.9:n uusimmassa haarassa. Alpine-kehittäjät maaliskuussa korjaustiedosto ja haavoittuvuus alkaen koontiversioista 3.9.2, 3.8.4, 3.7.3 ja 3.6.5, mutta pysyy vanhoissa haaroissa 3.4.x ja 3.5.x, jotka on jo lopetettu. Lisäksi kehittäjät väittävät, että hyökkäysvektori on hyvin rajallinen ja vaatii hyökkääjältä pääsyn samaan infrastruktuuriin.
Lähde: opennet.ru