సిస్కో సెక్యూరిటీ పరిశోధకులు దుర్బలత్వ సమాచారం (CVE-2019-5021) లో డాకర్ కంటైనర్ ఐసోలేషన్ సిస్టమ్ కోసం ఆల్పైన్ పంపిణీ. గుర్తించబడిన సమస్య యొక్క సారాంశం ఏమిటంటే, రూట్ యూజర్ కోసం డిఫాల్ట్ పాస్వర్డ్ రూట్గా డైరెక్ట్ లాగిన్ను నిరోధించకుండా ఖాళీ పాస్వర్డ్కు సెట్ చేయబడింది. డాకర్ ప్రాజెక్ట్ నుండి అధికారిక చిత్రాలను రూపొందించడానికి ఆల్పైన్ ఉపయోగించబడుతుందని గుర్తుంచుకోండి (గతంలో అధికారిక నిర్మాణాలు ఉబుంటుపై ఆధారపడి ఉండేవి, కానీ తర్వాత ఉన్నాయి ఆల్పైన్ మీద).
ఆల్పైన్ డాకర్ 3.3 బిల్డ్ నుండి సమస్య ఉంది మరియు 2015లో జోడించిన రిగ్రెషన్ మార్పు వల్ల ఏర్పడింది (వెర్షన్ 3.3కి ముందు, /etc/shadow "root:!::0::::", మరియు తర్వాత "-d" ఫ్లాగ్ యొక్క తొలగింపు "రూట్:::0:::::" లైన్ జోడించడం ప్రారంభించబడింది. సమస్య మొదట గుర్తించబడింది మరియు నవంబర్ 2015 లో, కానీ డిసెంబర్ లో మళ్ళీ పొరపాటున ప్రయోగాత్మక శాఖ యొక్క బిల్డ్ ఫైల్లలో, ఆపై స్థిరమైన బిల్డ్లకు బదిలీ చేయబడింది.
అల్పైన్ డాకర్ 3.9 యొక్క తాజా శాఖలో కూడా సమస్య కనిపిస్తుందని దుర్బలత్వ సమాచారం పేర్కొంది. మార్చిలో ఆల్పైన్ డెవలపర్లు పాచ్ మరియు దుర్బలత్వం 3.9.2, 3.8.4, 3.7.3 మరియు 3.6.5 బిల్డ్లతో ప్రారంభించి, ఇప్పటికే నిలిపివేయబడిన పాత శాఖలు 3.4.x మరియు 3.5.x లలో మిగిలిపోయింది. అదనంగా, డెవలపర్లు దాడి వెక్టర్ చాలా పరిమితంగా ఉందని మరియు దాడి చేసే వ్యక్తికి అదే మౌలిక సదుపాయాలకు ప్రాప్యత అవసరం అని పేర్కొన్నారు.
మూలం: opennet.ru