Cisco Güvenlik Araştırmacıları güvenlik açığı bilgileri (CVE-2019-5021) Docker konteyner izolasyon sistemi için Alpine dağıtımı. Tanımlanan sorunun özü, root kullanıcısı için varsayılan şifrenin, root olarak doğrudan oturum açmayı engellemeden boş bir şifreye ayarlanmasıdır. Alpine'ın Docker projesinden resmi görüntüler oluşturmak için kullanıldığını hatırlayalım (önceden resmi yapılar Ubuntu'ya dayanıyordu, ancak daha sonra Alp'te).
Sorun, Alpine Docker 3.3 sürümünden bu yana mevcut ve 2015'te eklenen bir regresyon değişikliğinden kaynaklanıyor (sürüm 3.3'ten önce /etc/shadow, "root:!::0:::::" satırını kullanıyordu ve flag “-d”nin kullanımdan kaldırılmasıyla “root:::0:::::” satırı eklenmeye başlandı. Sorun başlangıçta tespit edildi ve Kasım 2015'te, ancak Aralık ayında yanlışlıkla yine deneysel şubenin derleme dosyalarında ve ardından kararlı yapılara aktarıldı.
Güvenlik açığı bilgileri, sorunun Alpine Docker 3.9'un son sürümünde de ortaya çıktığını belirtiyor. Mart ayında Alpine geliştiricileri yama ve güvenlik açığı 3.9.2, 3.8.4, 3.7.3 ve 3.6.5 yapılarıyla başlıyor ancak halihazırda kullanımdan kaldırılmış olan eski 3.4.x ve 3.5.x dallarında kalıyor. Ayrıca geliştiriciler, saldırı vektörünün çok sınırlı olduğunu ve saldırganın da aynı altyapıya erişmesini gerektirdiğini iddia ediyor.
Kaynak: opennet.ru