Ciscovi istraživači sigurnosti informacije o ranjivosti (CVE-2019-5021) u Alpine distribucija za Docker sustav izolacije kontejnera. Bit identificiranog problema je da je zadana lozinka za root korisnika postavljena na praznu lozinku bez blokiranja izravne prijave kao root. Prisjetimo se da se Alpine koristi za generiranje službenih slika iz Docker projekta (prethodno su se službene verzije temeljile na Ubuntuu, ali tada je bilo na alpskom).
Problem je prisutan od verzije Alpine Docker 3.3, a uzrokovan je promjenom regresije dodanom 2015. (prije verzije 3.3, /etc/shadow je koristio redak "root:!::0:::::", a nakon deprecation of flag “-d” počeo se dodavati redak “root:::0:::::”. Problem je u početku identificiran i u studenom 2015., ali opet u prosincu greškom u datotekama za izgradnju eksperimentalne grane, a zatim je prebačen u stabilne verzije.
Informacije o ranjivosti navode da se problem također pojavljuje u najnovijoj grani Alpine Docker 3.9. Alpine developeri u ožujku zakrpa i ranjivost počevši s verzijama 3.9.2, 3.8.4, 3.7.3 i 3.6.5, ali ostaje u starim granama 3.4.x i 3.5.x, koje su već ukinute. Osim toga, programeri tvrde da je vektor napada vrlo ograničen i zahtijeva da napadač ima pristup istoj infrastrukturi.
Izvor: opennet.ru