תמונות Alpine Docker נשלחו עם סיסמת שורש ריקה

חוקרי אבטחה של סיסקו חָשׂוּף מידע על פגיעות (CVE-2019-5021) ב מכלולים הפצה אלפינית עבור מערכת בידוד המכולות Docker. המהות של הבעיה שזוהתה היא שסיסמת ברירת המחדל של משתמש השורש הוגדרה לסיסמה ריקה מבלי לחסום כניסה ישירה כ-root. בואו נזכור ש-Alpine משמש ליצירת תמונות רשמיות מפרויקט Docker (קודמים בנייה רשמית התבססה על אובונטו, אבל אז היו מְתוּרגָם על אלפיין).

הבעיה קיימת מאז בניית Alpine Docker 3.3 ונגרמה על ידי שינוי רגרסיה שהתווסף ב-2015 (לפני גרסה 3.3, /etc/shadow השתמש בשורה "root:!::0:::::", ואחרי הוצאה משימוש של הדגל "-d" השורה "root:::0:::::" החלה להתווסף. הבעיה זוהתה בתחילה ו תוקן בנובמבר 2015, אבל בדצמבר שוב בטעות מְשׁוּטָח בקבצי ה-build של ענף הניסוי, ולאחר מכן הועבר ל-builds יציבים.

מידע הפגיעות מציין כי הבעיה מופיעה גם בסניף האחרון של Alpine Docker 3.9. מפתחי אלפיני במרץ מְשׁוּחרָר תיקון ופגיעות לא מופיע החל ב-builds 3.9.2, 3.8.4, 3.7.3 ו-3.6.5, אך נשאר בענפים הישנים 3.4.x ו-3.5.x, שכבר הופסקו. בנוסף, המפתחים טוענים כי וקטור ההתקפה מוגבל מאוד ודורש מהתוקף גישה לאותה תשתית.

מקור: OpenNet.ru