සිස්කෝ ආරක්ෂක පර්යේෂකයන් අවදානම් තොරතුරු (CVE-2019-5021). ඩොකර් බහාලුම් හුදකලා පද්ධතිය සඳහා ඇල්පයින් බෙදා හැරීම. හඳුනාගත් ගැටලුවේ සාරය නම් root පරිශීලකයා සඳහා වන පෙරනිමි මුරපදය root ලෙස සෘජු පිවිසුම අවහිර නොකර හිස් මුරපදයකට සකසා තිබීමයි. ඩොකර් ව්යාපෘතියෙන් නිල රූප ජනනය කිරීමට ඇල්පයින් භාවිතා කරන බව මතක තබා ගනිමු (මීට පෙර නිල ගොඩනැගීම් උබුන්ටු මත පදනම් වූ නමුත් පසුව ඒවා තිබුණි. ඇල්පයින් මත).
Alpine Docker 3.3 ගොඩනැගීමේ සිටම ගැටලුව පවතින අතර එය 2015 දී එකතු කරන ලද ප්රතිගාමී වෙනසක් නිසා ඇති විය (3.3 අනුවාදයට පෙර, /etc/shadow "root:!::0::::" යන රේඛාව භාවිතා කළ අතර, පසුව "-d" ධජය ඉවත් කිරීම "root:::0:::::" රේඛාව එකතු කිරීමට පටන් ගත්තේය. ගැටලුව මුලින්ම හඳුනාගෙන ඇත 2015 නොවැම්බර් මාසයේදී, නමුත් දෙසැම්බර් මාසයේදී නැවතත් වැරදීමකින් පර්යේෂණාත්මක ශාඛාවේ ගොඩනැගීමේ ලිපිගොනු තුළ, පසුව ස්ථාවර ගොඩනැගීම් වෙත මාරු කරන ලදී.
අවදානම් තොරතුරු පවසන්නේ Alpine Docker 3.9 හි නවතම ශාඛාවේ ද ගැටළුව දිස්වන බවයි. මාර්තු මාසයේ ඇල්පයින් සංවර්ධකයින් පැච් සහ අවදානම බිල්ඩ්ස් 3.9.2, 3.8.4, 3.7.3 සහ 3.6.5 වලින් ආරම්භ වන නමුත්, දැනටමත් අත්හිටුවා ඇති පැරණි ශාඛා 3.4.x සහ 3.5.x හි පවතී. මීට අමතරව, සංවර්ධකයින් පවසන්නේ ප්රහාරක දෛශිකය ඉතා සීමිත බවත් ප්රහාරකයාට එම යටිතල පහසුකම් සඳහා ප්රවේශය අවශ්ය බවත්ය.
මූලාශ්රය: opennet.ru