19.4% nke nnukwu 1000 Docker nwere paswọọdụ mgbọrọgwụ efu
Джерри Гамблин (Jerry Gamblin) решил выяснить насколько распространена недавно выявленная nsogbu ahụ в Docker-образах дистрибутива Alpine, связанная с указанием пустого пароля для пользователя root. Анализ тысячи самых популярных контейнеров из каталога Docker Hub gosiri, kedu ihe 194 из них (19.4%) для root установлен пустой пароль без блокировки учётной записи («root:::0:::::» вместо «root:!::0:::::»).
В случае применения в контейнере пакетов shadow и linux-pam использование пустого пароля root ọ na-enye ohere повысить свои привилегии внутри контейнера при наличии непривилегированного доступа к контейнеру или после эксплуатации уязвимости в непривилегированном сервисе, выполняемом в контейнере. Также можно подключиться к контейнеру с правами root при наличии доступа к инфраструктуре, т.е. возможности подключения через терминал к TTY, указанном в списке /etc/securetty. Через SSH вход с пустым паролем блокируется.