Cisco drošības pētnieki ievainojamības informācija (CVE-2019-5021). Alpu sadale Docker konteineru izolācijas sistēmai. Identificētās problēmas būtība ir tāda, ka root lietotāja noklusējuma parole tika iestatīta uz tukšu paroli, nebloķējot tiešu pieteikšanos kā root. Atcerēsimies, ka Alpine tiek izmantots, lai ģenerētu oficiālus attēlus no Docker projekta (iepriekš oficiālās versijas bija balstītas uz Ubuntu, bet tad bija uz Alpiem).
Problēma pastāv kopš Alpine Docker 3.3 versijas, un to izraisīja 2015. gadā pievienotās regresijas izmaiņas (pirms versijas 3.3 /etc/shadow izmantoja rindu "root:!::0:::::" un pēc karoga “-d” nolietojums tika pievienota rinda “root:::0:::::”). Problēma sākotnēji tika identificēta un 2015. gada novembrī, bet decembrī kļūdas pēc vēlreiz eksperimentālās nozares būvfailos un pēc tam tika pārsūtīts uz stabilām būvēm.
Informācijā par ievainojamību teikts, ka problēma parādās arī jaunākajā Alpine Docker 3.9 atzarā. Alpu izstrādātāji martā ielāps un ievainojamība sākot ar būvēm 3.9.2, 3.8.4, 3.7.3 un 3.6.5, bet paliek vecajos zaros 3.4.x un 3.5.x, kas jau ir pārtraukti. Turklāt izstrādātāji apgalvo, ka uzbrukuma vektors ir ļoti ierobežots un pieprasa, lai uzbrucējam būtu piekļuve tai pašai infrastruktūrai.
Avots: opennet.ru