Panaliti Kaamanan Cisco inpormasi kerentanan (CVE-2019-5021) di Distribusi alpine pikeun sistem isolasi wadah Docker. Intina masalah anu diidentifikasi nyaéta kecap konci standar pikeun pangguna akar disetel ka sandi kosong tanpa ngahalangan login langsung salaku akar. Hayu urang émut yén Alpine dianggo pikeun ngahasilkeun gambar resmi tina proyék Docker (saméméhna wangunan resmi dumasar kana Ubuntu, tapi lajeng aya. dina Alpine).
Masalahna parantos aya ti saprak ngawangun Alpine Docker 3.3 sareng disababkeun ku parobihan régrési anu ditambah dina 2015 (saméméh versi 3.3, /etc/shadow nganggo garis "root:!::0:::::", sareng saatosna. deprecation of bendera "-d" garis "root::: 0:::::") ieu ditambahkeun. Masalah ieu mimitina dicirikeun na dina bulan Nopémber 2015, tapi dina bulan Désémber ku kasalahan deui dina file ngawangun sahiji cabang ékspérimén, lajeng ieu dibikeun ka ngawangun stabil.
Inpormasi kerentanan nyatakeun yén masalahna ogé muncul dina cabang panganyarna tina Alpine Docker 3.9. pamekar alpine dina Maret patch sareng kerentanan dimimitian ku ngawangun 3.9.2, 3.8.4, 3.7.3 jeung 3.6.5, tapi tetep dina dahan heubeul 3.4.x jeung 3.5.x, nu geus geus dieureunkeun. Salaku tambahan, pamekar nyatakeun yén vektor serangan terbatas pisan sareng meryogikeun panyerang gaduh aksés kana infrastruktur anu sami.
sumber: opennet.ru