Cisco қауіпсіздік зерттеушілері осалдық туралы ақпарат (CVE-2019-5021). Docker контейнерлік оқшаулау жүйесіне арналған альпі тарату. Анықталған мәселенің мәні - түбірлік пайдаланушы үшін әдепкі құпия сөз түбір ретінде тікелей кіруді бұғаттамай бос құпия сөзге орнатылған. Еске салайық, Alpine Docker жобасынан ресми кескіндерді жасау үшін қолданылады (бұрын ресми құрастырулар Ubuntu-ға негізделген, бірақ кейінірек болды. Альпіде).
Мәселе Alpine Docker 3.3 құрастырылғаннан бері орын алды және 2015 жылы қосылған регрессия өзгерісінен туындады (3.3 нұсқасына дейін /etc/shadow «root:!::0:::::» жолын пайдаланды және кейін «-d» жалауының ескіруі «root:::0:::::») жолы қосылды. Мәселе бастапқыда анықталды және 2015 жылдың қарашасында, бірақ желтоқсанда қайтадан қателесіп эксперименттік филиалдың құрастыру файлдарында, содан кейін тұрақты құрылымдарға ауыстырылды.
Осалдық туралы ақпарат проблеманың Alpine Docker 3.9 соңғы тармағында да пайда болатынын айтады. Наурызда Альпі әзірлеушілері патч және осалдық 3.9.2, 3.8.4, 3.7.3 және 3.6.5 құрастырудан басталады, бірақ қазірдің өзінде тоқтатылған 3.4.x және 3.5.x ескі тармақтарында қалады. Сонымен қатар, әзірлеушілер шабуыл векторы өте шектеулі және шабуылдаушыдан бірдей инфрақұрылымға қол жеткізуді талап етеді деп мәлімдейді.
Ақпарат көзі: opennet.ru