Peneliti Keamanan Cisco informasi kerentanan (CVE-2019-5021) di Distribusi Alpine untuk sistem isolasi kontainer Docker. Inti dari masalah yang teridentifikasi adalah kata sandi default untuk pengguna root disetel ke kata sandi kosong tanpa memblokir login langsung sebagai root. Ingatlah bahwa Alpine digunakan untuk menghasilkan image resmi dari proyek Docker (sebelumnya build resmi didasarkan pada Ubuntu, tetapi kemudian ada di Alpen).
Masalahnya telah ada sejak pembuatan Alpine Docker 3.3 dan disebabkan oleh perubahan regresi yang ditambahkan pada tahun 2015 (sebelum versi 3.3, /etc/shadow menggunakan baris "root:!::0:::::", dan setelah penghentian flag “-d” baris “root:::0:::::” mulai ditambahkan. Masalahnya awalnya diidentifikasi dan pada bulan November 2015, namun pada bulan Desember karena kesalahan lagi dalam file build dari cabang eksperimental, dan kemudian ditransfer ke build stabil.
Informasi kerentanan menyatakan bahwa masalah juga muncul di cabang terbaru Alpine Docker 3.9. Pengembang Alpine pada bulan Maret tambalan dan kerentanan dimulai dengan build 3.9.2, 3.8.4, 3.7.3 dan 3.6.5, tetapi tetap di cabang lama 3.4.x dan 3.5.x, yang telah dihentikan. Selain itu, pengembang mengklaim bahwa vektor serangan sangat terbatas dan mengharuskan penyerang memiliki akses ke infrastruktur yang sama.
Sumber: opennet.ru