سسڪو سيڪيورٽي محقق خطري جي معلومات (CVE-2019-5021) ۾ ڊاکر ڪنٽينر آئسوليشن سسٽم لاءِ الپائن ورڇ. سڃاڻپ ٿيل مسئلي جو خلاصو اهو آهي ته روٽ استعمال ڪندڙ لاءِ ڊفالٽ پاسورڊ هڪ خالي پاسورڊ تي سيٽ ڪيو ويو بغير سڌي لاگ ان کي روٽ جي طور تي بلاڪ ڪرڻ جي. اچو ته ياد رکون ته الپائن ڊاڪر پروجيڪٽ مان سرڪاري تصويرون پيدا ڪرڻ لاء استعمال ڪيو ويندو آهي (اڳ ۾ سرڪاري تعميرات Ubuntu تي ٻڌل هئي، پر پوء اتي موجود هئا. الپائن تي).
مسئلو الپائن ڊاڪر 3.3 جي تعمير کان وٺي موجود آهي ۽ 2015 ۾ شامل ڪيل رجعت واري تبديلي جي ڪري پيدا ٿيو (ورجن 3.3 کان اڳ، /etc/shadow استعمال ڪيو ويو "root:!::0:::::"، ۽ بعد ۾ جھنڊو "-d" جي لڪير "root:::0:::::" شامل ٿيڻ شروع ڪيو. مسئلو شروعاتي طور تي سڃاڻپ ڪئي وئي ۽ نومبر 2015 ۾، پر ڊسمبر ۾ ٻيهر غلطي سان تجرباتي برانچ جي تعمير فائلن ۾، ۽ پوء مستحڪم تعميرات ڏانهن منتقل ڪيو ويو.
خطرن جي ڄاڻ ۾ چيو ويو آهي ته مسئلو الپائن ڊاکر 3.9 جي تازي شاخ ۾ پڻ ظاهر ٿئي ٿو. مارچ ۾ الپائن ڊولپرز پيچ ۽ ڪمزوري بلڊز 3.9.2، 3.8.4، 3.7.3 ۽ 3.6.5 سان شروع ٿئي ٿو، پر پراڻن شاخن 3.4.x ۽ 3.5.x ۾ رهي ٿو، جيڪي اڳ ۾ ئي بند ڪيون ويون آهن. ان کان علاوه، ڊولپرز دعوي ڪري ٿو ته حملي جو ویکٹر تمام محدود آهي ۽ حملي ڪندڙ کي ساڳئي انفراسٽرڪچر تائين رسائي جي ضرورت آهي.
جو ذريعو: opennet.ru