Cisco-beveiligingsonderzoekers informatie over kwetsbaarheden (CVE-2019-5021) in Alpine distributie voor het Docker containerisolatiesysteem. De essentie van het geïdentificeerde probleem is dat het standaardwachtwoord voor de rootgebruiker was ingesteld op een leeg wachtwoord zonder directe login als root te blokkeren. Laten we niet vergeten dat Alpine wordt gebruikt om officiële afbeeldingen van het Docker-project te genereren (voorheen waren officiële builds gebaseerd op Ubuntu, maar toen waren er op Alpine).
Het probleem is aanwezig sinds de build van Alpine Docker 3.3 en werd veroorzaakt door een regressiewijziging die in 2015 werd toegevoegd (vóór versie 3.3 gebruikte /etc/shadow de regel "root:!::0:::::", en na de afschaffing van vlag “-d” de regel “root:::0:::::”) is toegevoegd. Het probleem werd aanvankelijk geïdentificeerd en in november 2015, maar in december opnieuw per ongeluk in de build-bestanden van de experimentele tak, en werd vervolgens overgebracht naar stabiele builds.
In de kwetsbaarheidsinformatie staat dat het probleem ook voorkomt in de nieuwste tak van Alpine Docker 3.9. Alpine-ontwikkelaars in maart patch en kwetsbaarheid beginnend met builds 3.9.2, 3.8.4, 3.7.3 en 3.6.5, maar blijft in de oude branches 3.4.x en 3.5.x, die al zijn stopgezet. Bovendien beweren de ontwikkelaars dat de aanvalsvector zeer beperkt is en vereist dat de aanvaller toegang heeft tot dezelfde infrastructuur.
Bron: opennet.ru