Les images officielles Docker Alpine Linux, à partir de la version 3.3, contiennent un mot de passe root vide. Lors de l'utilisation de PAM ou d'un autre mécanisme d'authentification utilisant le fichier /etc/shadow comme source, le système peut autoriser l'utilisateur root à se connecter avec un mot de passe vide. Mettez à jour la version de l'image de base ou modifiez manuellement le fichier /etc/shadow.
La vulnérabilité a été corrigée dans les versions :
- bord (instantané 20190228)
- v3.9.2
- v3.8.4
- v3.7.3
- v3.6.5
Source: linux.org.ru