Hulumtuesit e Sigurisë Cisco informacioni i cenueshmërisë (CVE-2019-5021) në Shpërndarja alpine për sistemin e izolimit të kontejnerëve Docker. Thelbi i problemit të identifikuar është se fjalëkalimi i paracaktuar për përdoruesin rrënjë u vendos në një fjalëkalim të zbrazët pa bllokuar hyrjen direkte si rrënjë. Le të kujtojmë se Alpine përdoret për të gjeneruar imazhe zyrtare nga projekti Docker (ndërtimet zyrtare më parë bazoheshin në Ubuntu, por më pas kishte në Alpine).
Problemi ka qenë i pranishëm që nga ndërtimi i Alpine Docker 3.3 dhe u shkaktua nga një ndryshim regresioni i shtuar në 2015 (përpara versionit 3.3, /etc/shadow përdorte rreshtin "root:!::0:::::", dhe pas zhvlerësimi i flamurit “-d” filloi të shtohej rreshti “root:::0:::::”. Problemi u identifikua fillimisht dhe në nëntor 2015, por në dhjetor përsëri gabimisht në skedarët e ndërtimit të degës eksperimentale, dhe më pas u transferua në ndërtime të qëndrueshme.
Informacioni i cenueshmërisë thotë se problemi shfaqet edhe në degën më të fundit të Alpine Docker 3.9. Zhvilluesit Alpine në Mars arnimi dhe cenueshmëria duke filluar me ndërtimet 3.9.2, 3.8.4, 3.7.3 dhe 3.6.5, por mbetet në degët e vjetra 3.4.x dhe 3.5.x, të cilat tashmë janë ndërprerë. Për më tepër, zhvilluesit pretendojnë se vektori i sulmit është shumë i kufizuar dhe kërkon që sulmuesi të ketë akses në të njëjtën infrastrukturë.
Burimi: opennet.ru