Муҳаққиқони амнияти Cisco Маълумот дар бораи осебпазирӣ (CVE-2019-5021) дар Тақсимоти кӯҳӣ барои системаи изолятсияи контейнерии Docker. Моҳияти мушкилоти муайяншуда дар он аст, ки гузарвожаи пешфарз барои корбари реша ба пароли холӣ бидуни бастани воридшавии мустақим ҳамчун реша муқаррар карда шудааст. Биёед дар хотир дорем, ки Alpine барои тавлиди тасвирҳои расмӣ аз лоиҳаи Docker истифода мешавад (қаблан сохтмонҳои расмӣ ба Ubuntu асос ёфта буданд, аммо баъдтар вуҷуд доштанд дар Альп).
Мушкилот аз замони сохтани Alpine Docker 3.3 вуҷуд дошт ва дар натиҷаи тағирёбии регрессия дар соли 2015 ба вуҷуд омадааст (пеш аз версияи 3.3, /etc/shadow хати "root:!::0:::::" ва пас аз бекор кардани парчами “-d” сатри “root:::0:::::” илова карда шуд. Проблема дар аввал муайян карда шуд ва дар моҳи ноябри соли 2015, вале дар моҳи декабри соли хато боз дар файлхои бинокории филиали тачрибавй ва баъд ба сохтмонхои устувор гузаронда шуд.
Маълумот дар бораи осебпазирӣ гуфта мешавад, ки мушкилот дар филиали охирини Alpine Docker 3.9 низ пайдо мешавад. Таҳиякунандагони Alpine дар моҳи март часпак ва осебпазирӣ сар карда, бо сохтани 3.9.2, 3.8.4, 3.7.3 ва 3.6.5, аммо дар шохаҳои кӯҳнаи 3.4.x ва 3.5.x, ки аллакай қатъ карда шудаанд, боқӣ мемонад. Илова бар ин, таҳиягарон даъво доранд, ки вектори ҳамла хеле маҳдуд аст ва аз ҳамлагар талаб мекунад, ки ба як инфрасохтор дастрасӣ дошта бошад.
Манбаъ: opennet.ru