Cisco saugumo tyrinėtojai pažeidžiamumo informacija (CVE-2019-5021). Alpinis paskirstymas Docker konteinerių izoliavimo sistemai. Nustatytos problemos esmė ta, kad numatytasis root vartotojo slaptažodis buvo nustatytas į tuščią slaptažodį, neužblokuojant tiesioginio prisijungimo kaip root. Prisiminkime, kad Alpine naudojama oficialiems Docker projekto vaizdams generuoti (anksčiau oficialios versijos buvo paremtos Ubuntu, bet tada buvo Alpėse).
Problema kilo nuo Alpine Docker 3.3 versijos ir ją sukėlė 2015 m. pridėtas regresijos pakeitimas (prieš 3.3 versiją /etc/shadow naudojo eilutę „root:!::0:::::“, o po vėliavėlės „-d“ panaikinimas, buvo pridėta eilutė „root:::0:::::“). Iš pradžių problema buvo nustatyta ir 2015 metų lapkritį, bet gruodį per klaidą vėl eksperimentinės šakos kūrimo failuose, o vėliau buvo perkeltas į stabilias versijas.
Informacijoje apie pažeidžiamumą teigiama, kad problema taip pat atsiranda naujausioje „Alpine Docker 3.9“ šakoje. Alpių kūrėjai kovo mėn pleistras ir pažeidžiamumas pradedant 3.9.2, 3.8.4, 3.7.3 ir 3.6.5 versijomis, bet lieka senose šakose 3.4.x ir 3.5.x, kurios jau buvo nutrauktos. Be to, kūrėjai teigia, kad atakos vektorius yra labai ribotas ir reikalauja, kad užpuolikas turėtų prieigą prie tos pačios infrastruktūros.
Šaltinis: opennet.ru