Watafiti wa Usalama wa Cisco maelezo ya uwezekano (CVE-2019-5021) katika Usambazaji wa Alpine kwa mfumo wa kutenganisha chombo cha Docker. Kiini cha tatizo lililotambuliwa ni kwamba nenosiri la msingi la mtumiaji wa mizizi liliwekwa kwa nenosiri tupu bila kuzuia kuingia moja kwa moja kama mzizi. Wacha tukumbuke kuwa Alpine inatumiwa kutoa picha rasmi kutoka kwa mradi wa Docker (ujenzi rasmi wa hapo awali ulikuwa msingi wa Ubuntu, lakini basi kulikuwa na kwenye Alpine).
Shida imekuwepo tangu ujenzi wa Alpine Docker 3.3 na ilisababishwa na mabadiliko ya rejista yaliyoongezwa mnamo 2015 (kabla ya toleo la 3.3, /etc/shadow kutumia mstari "mizizi:!::0:::::", na baada ya kushuka kwa bendera "-d" mstari "mzizi:::0:::::" ulianza kuongezwa. Tatizo lilitambuliwa awali na mnamo Novemba 2015, lakini mnamo Desemba kwa makosa tena katika faili za ujenzi wa tawi la majaribio, na kisha kuhamishiwa kwa ujenzi thabiti.
Taarifa ya uwezekano wa kuathiriwa inasema kwamba tatizo pia linaonekana katika tawi la hivi punde la Alpine Docker 3.9. Watengenezaji wa Alpine mwezi Machi kiraka na mazingira magumu kuanzia hujenga 3.9.2, 3.8.4, 3.7.3 na 3.6.5, lakini inabakia katika matawi ya zamani 3.4.x na 3.5.x, ambayo tayari imekoma. Kwa kuongeza, waendelezaji wanadai kuwa vector ya mashambulizi ni ndogo sana na inahitaji mshambuliaji awe na upatikanaji wa miundombinu sawa.
Chanzo: opennet.ru