Penyelidik Keselamatan Cisco maklumat kerentanan (CVE-2019-5021) dalam Pengedaran Alpine untuk sistem pengasingan kontena Docker. Intipati masalah yang dikenal pasti ialah kata laluan lalai untuk pengguna root telah ditetapkan kepada kata laluan kosong tanpa menyekat log masuk langsung sebagai root. Mari kita ingat bahawa Alpine digunakan untuk menjana imej rasmi daripada projek Docker (sebelum ini binaan rasmi adalah berdasarkan Ubuntu, tetapi kemudian terdapat di Alpine).
Masalahnya telah wujud sejak binaan Alpine Docker 3.3 dan disebabkan oleh perubahan regresi yang ditambahkan pada tahun 2015 (sebelum versi 3.3, /etc/shadow menggunakan baris "root:!::0:::::", dan selepas penamatan bendera "-d" baris "root:::0:::::" mula ditambah. Masalahnya pada mulanya dikenal pasti dan pada bulan November 2015, tetapi pada bulan Disember secara tidak sengaja lagi dalam fail binaan cawangan percubaan, dan kemudian dipindahkan ke binaan yang stabil.
Maklumat kelemahan menyatakan bahawa masalah itu juga muncul dalam cawangan terbaru Alpine Docker 3.9. Pemaju Alpine pada bulan Mac tampalan dan kelemahan bermula dengan binaan 3.9.2, 3.8.4, 3.7.3 dan 3.6.5, tetapi kekal dalam cawangan lama 3.4.x dan 3.5.x, yang telah pun dihentikan. Di samping itu, pembangun mendakwa bahawa vektor serangan adalah sangat terhad dan memerlukan penyerang untuk mempunyai akses kepada infrastruktur yang sama.
Sumber: opennet.ru