Cisco öryggisrannsakendur upplýsingar um varnarleysi (CVE-2019-5021) í Alpine dreifing fyrir Docker gámaeinangrunarkerfið. Kjarninn í tilgreindu vandamáli er að sjálfgefið lykilorð fyrir rótarnotandann var stillt á tómt lykilorð án þess að hindra beina innskráningu sem rót. Við skulum muna að Alpine er notað til að búa til opinberar myndir úr Docker verkefninu (áður voru opinberar byggingar byggðar á Ubuntu, en þá voru á Alpine).
Vandamálið hefur verið til staðar síðan Alpine Docker 3.3 smíðin og stafaði af aðhvarfsbreytingu sem bætt var við árið 2015 (áður en útgáfa 3.3 notaði /etc/shadow línuna "root:!::0:::::", og eftir að afnám fána „-d“ línunni „rót:::0:::::“) var bætt við. Vandamálið var upphaflega greint og í nóvember 2015, en í desember fyrir mistök aftur í byggingarskrám tilraunagreinarinnar og var síðan flutt yfir í stöðugar byggingar.
Í varnarleysisupplýsingunum kemur fram að vandamálið birtist einnig í nýjustu grein Alpine Docker 3.9. Alpine verktaki í mars plástur og varnarleysi byrjað á byggingum 3.9.2, 3.8.4, 3.7.3 og 3.6.5, en er áfram í gömlu greinunum 3.4.x og 3.5.x, sem þegar hafa verið hætt. Að auki halda hönnuðir því fram að árásarvektorinn sé mjög takmarkaður og krefst þess að árásarmaðurinn hafi aðgang að sama innviði.
Heimild: opennet.ru