Cisco Security Undersikers ynformaasje oer kwetsberens (CVE-2019-5021) yn Alpine distribúsje foar it Docker-kontener-isolaasjesysteem. De essinsje fan it identifisearre probleem is dat it standert wachtwurd foar de root-brûker waard ynsteld op in leech wachtwurd sûnder direkte oanmelding as root te blokkearjen. Lit ús ûnthâlde dat Alpine wurdt brûkt om offisjele ôfbyldings te generearjen fan it Docker-projekt (earder wiene offisjele builds basearre op Ubuntu, mar doe wiene d'r op Alpine).
It probleem is oanwêzich sûnt de Alpine Docker 3.3 build en waard feroarsake troch in regression feroaring tafoege yn 2015 (foardat ferzje 3.3, /etc/shadow brûkte de line "root:!::0 :::::", en nei de ôfskriuwing fan flagge "-d" de rigel "root ::: 0 :::::" begûn wurde tafoege. It probleem waard yn earste ynstânsje identifisearre en yn novimber 2015, mar yn desimber by fersin wer yn 'e boubestannen fan' e eksperimintele tûke, en waard dan oerbrocht nei stabile builds.
De ynformaasje oer kwetsberens stelt dat it probleem ek ferskynt yn 'e lêste tûke fan Alpine Docker 3.9. Alpine ûntwikkelders yn maart patch en kwetsberens begjinnend mei builds 3.9.2, 3.8.4, 3.7.3 en 3.6.5, mar bliuwt yn de âlde tûken 3.4.x en 3.5.x, dy't al staakt. Derneist beweare de ûntwikkelders dat de oanfalsvektor tige beheind is en fereasket dat de oanfaller tagong hat ta deselde ynfrastruktuer.
Boarne: opennet.ru