Cisco လုံခြုံရေးသုတေသီများ အားနည်းချက်အချက်အလက် (CVE-2019-5021) တွင် Docker ကွန်တိန်နာအထီးကျန်စနစ်အတွက် Alpine ဖြန့်ဖြူးခြင်း။ ဖော်ထုတ်ထားသော ပြဿနာ၏ အနှစ်သာရမှာ root အသုံးပြုသူအတွက် မူရင်းစကားဝှက်ကို root အဖြစ် တိုက်ရိုက်ဝင်ရောက်ခြင်းကို မပိတ်ဆို့ဘဲ အလွတ်စကားဝှက်တစ်ခုအဖြစ် သတ်မှတ်ထားခြင်းဖြစ်ပါသည်။ Alpine ကို Docker ပရောဂျက်မှတရားဝင်ရုပ်ပုံများထုတ်လုပ်ရန်အသုံးပြုသည် (ယခင်ကတရားဝင်တည်ဆောက်မှုများကို Ubuntu ပေါ်တွင်အခြေခံထားသော်လည်းထို့နောက်တွင်ရှိခဲ့သည် အယ်လ်ပိုင်း)။
Alpine Docker 3.3 တည်ဆောက်ကတည်းက ပြဿနာသည် ရှိနေခဲ့ပြီး 2015 ခုနှစ်တွင် ထပ်လောင်းထားသော ဆုတ်ယုတ်မှုပြောင်းလဲမှုကြောင့် ဖြစ်ရခြင်းဖြစ်သည် (ဗားရှင်း 3.3 မတိုင်မီ၊ /etc/shadow သည် "root:!::0::::" ဟူသော စာကြောင်းကို အသုံးပြုခဲ့ပြီး ပြီးနောက်၊ အလံ “-d” မျဉ်းအား “root:::0:::::” ကို စတင်ထည့်သွင်းခဲ့သည်။ ပြဿနာကို ကနဦးဖော်ထုတ်ပြီးဖြစ်သည်။ 2015 ခုနှစ် နိုဝင်ဘာလတွင် မှားယွင်းခဲ့သော်လည်း ဒီဇင်ဘာလတွင် မှားယွင်းခဲ့ပြန်သည်။ စမ်းသပ်ဌာနခွဲ၏ တည်ဆောက်ဖိုင်များတွင်၊ ထို့နောက် တည်ငြိမ်သော တည်ဆောက်မှုများသို့ ပြောင်းရွှေ့ခဲ့သည်။
အားနည်းချက် အချက်အလက်တွင် ပြဿနာသည် Alpine Docker 3.9 ၏ နောက်ဆုံးဌာနခွဲတွင်လည်း ပေါ်လာကြောင်း ဖော်ပြထားသည်။ မတ်လတွင် Alpine developer များ patch နှင့် အားနည်းချက် တည်ဆောက်မှုများ 3.9.2၊ 3.8.4၊ 3.7.3 နှင့် 3.6.5 တို့ဖြင့် စတင်သော်လည်း ရပ်ဆိုင်းထားပြီးဖြစ်သည့် 3.4.x နှင့် 3.5.x အကိုင်းအခက်ဟောင်းများတွင် ကျန်ရှိနေပါသည်။ ထို့အပြင်၊ developer များက attack vector သည် အလွန်အကန့်အသတ်ရှိပြီး attacker သည် တူညီသောအခြေခံအဆောက်အဦများသို့ ဝင်ရောက်ခွင့်ရှိရန် လိုအပ်သည်ဟု ဆိုကြသည်။
source: opennet.ru