ಸಿಸ್ಕೋ ಭದ್ರತಾ ಸಂಶೋಧಕರು ದುರ್ಬಲತೆಯ ಮಾಹಿತಿ (CVE-2019-5021) ರಲ್ಲಿ ಡಾಕರ್ ಕಂಟೇನರ್ ಐಸೋಲೇಶನ್ ಸಿಸ್ಟಮ್ಗಾಗಿ ಆಲ್ಪೈನ್ ವಿತರಣೆ. ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಯ ಮೂಲತತ್ವವೆಂದರೆ ರೂಟ್ ಬಳಕೆದಾರರ ಡೀಫಾಲ್ಟ್ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ರೂಟ್ನಂತೆ ನೇರ ಲಾಗಿನ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸದೆ ಖಾಲಿ ಪಾಸ್ವರ್ಡ್ಗೆ ಹೊಂದಿಸಲಾಗಿದೆ. ಡಾಕರ್ ಪ್ರಾಜೆಕ್ಟ್ನಿಂದ ಅಧಿಕೃತ ಚಿತ್ರಗಳನ್ನು ರಚಿಸಲು ಆಲ್ಪೈನ್ ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಎಂದು ನೆನಪಿಸೋಣ (ಹಿಂದೆ ಅಧಿಕೃತ ನಿರ್ಮಾಣಗಳು ಉಬುಂಟು ಅನ್ನು ಆಧರಿಸಿವೆ, ಆದರೆ ನಂತರ ಇದ್ದವು ಆಲ್ಪೈನ್ ಮೇಲೆ).
Alpine Docker 3.3 ಬಿಲ್ಡ್ನಿಂದ ಸಮಸ್ಯೆಯು ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ ಮತ್ತು 2015 ರಲ್ಲಿ ಸೇರಿಸಲಾದ ರಿಗ್ರೆಶನ್ ಬದಲಾವಣೆಯಿಂದ ಉಂಟಾಗಿದೆ (ಆವೃತ್ತಿ 3.3 ಮೊದಲು, /etc/shadow "root:!::0::::" ಎಂಬ ಸಾಲನ್ನು ಬಳಸಿತು, ಮತ್ತು ನಂತರ "-d" ಧ್ವಜದ ಅಸಮ್ಮತಿ "ಮೂಲ:::0:::::" ಸಾಲನ್ನು ಸೇರಿಸಲು ಪ್ರಾರಂಭಿಸಿತು. ಸಮಸ್ಯೆಯನ್ನು ಆರಂಭದಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ ಮತ್ತು ನವೆಂಬರ್ 2015 ರಲ್ಲಿ, ಆದರೆ ಡಿಸೆಂಬರ್ನಲ್ಲಿ ಮತ್ತೆ ತಪ್ಪಾಗಿ ಪ್ರಾಯೋಗಿಕ ಶಾಖೆಯ ಬಿಲ್ಡ್ ಫೈಲ್ಗಳಲ್ಲಿ, ಮತ್ತು ನಂತರ ಸ್ಥಿರ ನಿರ್ಮಾಣಗಳಿಗೆ ವರ್ಗಾಯಿಸಲಾಯಿತು.
ದುರ್ಬಲತೆಯ ಮಾಹಿತಿಯು ಆಲ್ಪೈನ್ ಡಾಕರ್ 3.9 ರ ಇತ್ತೀಚಿನ ಶಾಖೆಯಲ್ಲಿಯೂ ಸಹ ಸಮಸ್ಯೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ ಎಂದು ಹೇಳುತ್ತದೆ. ಮಾರ್ಚ್ನಲ್ಲಿ ಆಲ್ಪೈನ್ ಡೆವಲಪರ್ಗಳು ಪ್ಯಾಚ್ ಮತ್ತು ದುರ್ಬಲತೆ 3.9.2, 3.8.4, 3.7.3 ಮತ್ತು 3.6.5 ಬಿಲ್ಡ್ಗಳೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಿ, ಆದರೆ ಹಳೆಯ ಶಾಖೆಗಳಲ್ಲಿ 3.4.x ಮತ್ತು 3.5.x ನಲ್ಲಿ ಉಳಿದಿದೆ, ಅದನ್ನು ಈಗಾಗಲೇ ಸ್ಥಗಿತಗೊಳಿಸಲಾಗಿದೆ. ಇದರ ಜೊತೆಗೆ, ಡೆವಲಪರ್ಗಳು ಆಕ್ರಮಣಕಾರಿ ವೆಕ್ಟರ್ ತುಂಬಾ ಸೀಮಿತವಾಗಿದೆ ಮತ್ತು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅದೇ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು ಎಂದು ಹೇಳಿಕೊಳ್ಳುತ್ತಾರೆ.
ಮೂಲ: opennet.ru