Riċerkaturi tas-Sigurtà ta' Cisco informazzjoni dwar il-vulnerabbiltà (CVE-2019-5021) fi Distribuzzjoni Alpina għas-sistema ta 'iżolament tal-kontejners Docker. L-essenza tal-problema identifikata hija li l-password default għall-utent root kienet issettjata għal password vojta mingħajr ma jimblokka l-login dirett bħala root. Ejja niftakru li Alpine jintuża biex jiġġenera immaġini uffiċjali mill-proġett Docker (preċedentement il-bini uffiċjali kienu bbażati fuq Ubuntu, iżda mbagħad kien hemm fuq Alpine).
Il-problema ilha preżenti mill-bini ta' Alpine Docker 3.3 u kienet ikkawżata minn bidla ta' rigressjoni miżjuda fl-2015 (qabel il-verżjoni 3.3, /etc/shadow uża l-linja "root:!::0:::::", u wara l- deprekazzjoni tal-bandiera "-d" il-linja "root:::0:::::") ġiet miżjuda. Il-problema kienet inizjalment identifikata u f’Novembru 2015, iżda f’Diċembru mill-ġdid bi żball fil-fajls tal-bini tal-fergħa sperimentali, u mbagħad ġie trasferit għal bini stabbli.
L-informazzjoni dwar il-vulnerabbiltà tgħid li l-problema tidher ukoll fl-aħħar fergħa ta 'Alpine Docker 3.9. Iżviluppaturi Alpini f'Marzu garża u vulnerabbiltà tibda bil-bini 3.9.2, 3.8.4, 3.7.3 u 3.6.5, iżda jibqa 'fil-fergħat l-antiki 3.4.x u 3.5.x, li diġà twaqqfu. Barra minn hekk, l-iżviluppaturi jsostnu li l-vettur tal-attakk huwa limitat ħafna u jeħtieġ li l-attakkant ikollu aċċess għall-istess infrastruttura.
Sors: opennet.ru