A legnépszerűbb 19.4 Docker-tároló 1000%-a üres root jelszót tartalmaz
Jerry Gamblin úgy döntött, hogy megtudja, mennyire elterjedt az újonnan azonosított probléma az Alpine disztribúció Docker-képein, amelyek a root felhasználó üres jelszavának megadásához kapcsolódnak. Több ezer legnépszerűbb konténer elemzése a Docker Hub katalógusból megmutatta, miben 194 ebből (19.4%) a root számára üres jelszót állítanak be a fiók zárolása nélkül (a „root:!::0:::::” helyett „root:::0:::::”).
Ha a tároló a shadow és a linux-pam csomagokat használja, használjon üres root jelszót lehetővé teszi Eszkalálja a jogosultságait a tárolón belül, ha jogosulatlan hozzáféréssel rendelkezik a tárolóhoz, vagy miután kihasználta a tárolóban futó, nem jogosult szolgáltatás biztonsági rését. A tárolóhoz root jogokkal is csatlakozhat, ha rendelkezik hozzáféréssel az infrastruktúrához, pl. terminálon keresztüli csatlakozás képessége az /etc/securetty listában megadott TTY-hez. Az üres jelszóval történő bejelentkezés blokkolva van SSH-n keresztül.