سسکو سیکورٹی محققین خطرے سے متعلق معلومات (CVE-2019-5021) میں ڈوکر کنٹینر آئسولیشن سسٹم کے لیے الپائن ڈسٹری بیوشن۔ شناخت شدہ مسئلہ کا خلاصہ یہ ہے کہ روٹ صارف کے لیے ڈیفالٹ پاس ورڈ کو روٹ کے طور پر براہ راست لاگ ان کو بلاک کیے بغیر ایک خالی پاس ورڈ پر سیٹ کیا گیا تھا۔ یاد رہے کہ الپائن کو ڈوکر پروجیکٹ سے آفیشل امیجز بنانے کے لیے استعمال کیا جاتا ہے (پہلے آفیشل بلڈز اوبنٹو پر مبنی تھیں، لیکن پھر الپائن پر)۔
یہ مسئلہ الپائن ڈوکر 3.3 کی تعمیر کے بعد سے موجود ہے اور یہ 2015 میں شامل ریگریشن تبدیلی کی وجہ سے ہوا تھا (ورژن 3.3 سے پہلے، /etc/shadow نے "root:!::0::::::"، اور اس کے بعد جھنڈے کی فرسودگی "-d" لائن "root:::0:::::" کو شامل کیا جانا شروع ہوا۔ ابتدائی طور پر مسئلہ کی نشاندہی کی گئی تھی اور نومبر 2015 میں، لیکن دسمبر میں دوبارہ غلطی سے تجرباتی برانچ کی بلڈ فائلوں میں، اور پھر اسے مستحکم بلڈز میں منتقل کر دیا گیا۔
خطرے سے متعلق معلومات میں کہا گیا ہے کہ مسئلہ Alpine Docker 3.9 کی تازہ ترین برانچ میں بھی ظاہر ہوتا ہے۔ مارچ میں الپائن ڈویلپرز پیچ اور کمزوری 3.9.2، 3.8.4، 3.7.3 اور 3.6.5 کے ساتھ شروع ہوتا ہے، لیکن پرانی شاخوں 3.4.x اور 3.5.x میں رہتا ہے، جو پہلے ہی بند کر دی گئی ہیں۔ اس کے علاوہ، ڈویلپرز کا دعویٰ ہے کہ حملہ کرنے والا ویکٹر بہت محدود ہے اور حملہ آور کو اسی بنیادی ڈھانچے تک رسائی کی ضرورت ہوتی ہے۔
ماخذ: opennet.ru