Varnostni raziskovalci podjetja Cisco informacije o ranljivosti (CVE-2019-5021) v Alpine distribucija za izolacijski sistem kontejnerjev Docker. Bistvo ugotovljene težave je, da je bilo privzeto geslo za uporabnika root nastavljeno na prazno geslo, ne da bi blokirala neposredno prijavo kot root. Spomnimo se, da se Alpine uporablja za ustvarjanje uradnih slik iz projekta Docker (prej so uradne različice temeljile na Ubuntuju, potem pa so bile na alpskem).
Težava je prisotna že od gradnje Alpine Docker 3.3 in jo je povzročila sprememba regresije, dodana leta 2015 (pred različico 3.3 je /etc/shadow uporabljal vrstico "root:!::0:::::", po opustitev zastavice “-d” se je začela dodajati vrstica “root:::0:::::”. Težava je bila sprva ugotovljena in novembra 2015, decembra pa spet po pomoti v gradbenih datotekah eksperimentalne veje, nato pa je bil prenesen v stabilne gradnje.
Informacije o ranljivosti navajajo, da se težava pojavlja tudi v najnovejši veji Alpine Docker 3.9. Alpine razvijalci marca obliž in ranljivost začenši z različicami 3.9.2, 3.8.4, 3.7.3 in 3.6.5, vendar ostaja v starih vejah 3.4.x in 3.5.x, ki sta že ukinjeni. Poleg tega razvijalci trdijo, da je vektor napada zelo omejen in zahteva, da ima napadalec dostop do iste infrastrukture.
Vir: opennet.ru
