Mga Mananaliksik sa Seguridad ng Cisco impormasyon ng kahinaan (CVE-2019-5021) sa Alpine distribution para sa Docker container isolation system. Ang kakanyahan ng natukoy na problema ay ang default na password para sa root user ay nakatakda sa isang walang laman na password nang hindi hinaharangan ang direktang pag-login bilang root. Tandaan natin na ang Alpine ay ginagamit upang makabuo ng mga opisyal na imahe mula sa proyekto ng Docker (ang dating opisyal na mga build ay batay sa Ubuntu, ngunit pagkatapos ay mayroong sa Alpine).
Ang problema ay naroroon mula noong Alpine Docker 3.3 build at sanhi ng pagbabago ng regression na idinagdag noong 2015 (bago ang bersyon 3.3, ginamit ng /etc/shadow ang linyang "root:!::0:::::", at pagkatapos ng paghinto sa paggamit ng bandila "-d" ang linyang "ugat:::0:::::" ay nagsimulang idagdag. Ang problema ay unang natukoy at noong Nobyembre 2015, ngunit noong Disyembre nang hindi sinasadyang muli sa mga build file ng pang-eksperimentong sangay, at pagkatapos ay inilipat sa mga matatag na build.
Ang impormasyon ng kahinaan ay nagsasaad na ang problema ay lumilitaw din sa pinakabagong sangay ng Alpine Docker 3.9. Mga developer ng Alpine noong Marso patch at kahinaan simula sa mga build 3.9.2, 3.8.4, 3.7.3 at 3.6.5, ngunit nananatili sa mga lumang branch na 3.4.x at 3.5.x, na hindi na ipinagpatuloy. Bilang karagdagan, sinasabi ng mga developer na ang vector ng pag-atake ay napakalimitado at nangangailangan ang umaatake na magkaroon ng access sa parehong imprastraktura.
Pinagmulan: opennet.ru