Peneliti Keamanan Cisco informasi kerentanan (CVE-2019-5021) ing Distribusi Alpine kanggo sistem isolasi wadhah Docker. Inti saka masalah sing diidentifikasi yaiku tembung sandhi standar kanggo pangguna root disetel dadi sandhi kosong tanpa ngalangi login langsung minangka root. Elinga yen Alpine digunakake kanggo ngasilake gambar resmi saka proyek Docker (sadurunge bangunan resmi adhedhasar Ubuntu, nanging banjur ana. ing Alpine).
Masalah kasebut wis ana wiwit mbangun Alpine Docker 3.3 lan disebabake owah-owahan regresi sing ditambahake ing 2015 (sadurunge versi 3.3 /etc/shadow nggunakake baris "root:!::0:::::", lan sawise deprecation flag "-d" baris "root::: 0:::::") ditambahake. Masalah iki pisanan dikenali lan ing November 2015, nanging ing Desember dening kesalahan maneh ing file mbangun cabang eksperimen, banjur ditransfer menyang mbangun stabil.
Informasi kerentanan nyatakake yen masalah kasebut uga katon ing cabang paling anyar saka Alpine Docker 3.9. pangembang Alpine ing Maret patch lan kerentanan miwiti karo mbangun 3.9.2, 3.8.4, 3.7.3 lan 3.6.5, nanging tetep ing cabang lawas 3.4.x lan 3.5.x, kang wis mandhek. Kajaba iku, pangembang ngaku yen vektor serangan winates banget lan mbutuhake panyerang duwe akses menyang infrastruktur sing padha.
Source: opennet.ru