19.4 % iš 1000 populiariausių Docker konteinerių yra tuščias root slaptažodis
Jerry Gamblinas nusprendė išsiaiškinti, kaip plačiai paplitęs naujai nustatytas problema Alpine platinimo Docker vaizduose, susijusiuose su tuščio slaptažodžio nurodymu pagrindiniam vartotojui. Tūkstančių populiariausių konteinerių iš Docker Hub katalogo analizė parodė, kame 194 iš jų (19.4%), neužrakinus paskyros, root nustatytas tuščias slaptažodis („root:::0:::::“ vietoj „root:!::0:::::“).
Jei konteineris naudoja šešėlio ir linux-pam paketus, naudokite tuščią root slaptažodį leidžia padidinkite savo teises sudėtiniame rodinyje, jei turite neprivilegijuotą prieigą prie sudėtinio rodinio arba išnaudojote konteineryje veikiančios neprivilegijuotos paslaugos pažeidžiamumą. Prie konteinerio taip pat galite prisijungti su root teisėmis, jei turite prieigą prie infrastruktūros, t.y. galimybė per terminalą prisijungti prie /etc/securetty sąraše nurodyto TTY. Prisijungimas su tuščiu slaptažodžiu blokuojamas per SSH.