思科安全研究人员 漏洞信息 (CVE-2019-5021) Docker 容器隔离系统的 Alpine 发行版。 所发现问题的本质是root用户的默认密码被设置为空密码,而没有阻止以root身份直接登录。 让我们记住,Alpine 用于从 Docker 项目生成官方镜像(之前的官方版本是基于 Ubuntu 的,但后来有了 阿尔卑斯山)。
该问题自 Alpine Docker 3.3 构建以来就一直存在,是由 2015 年添加的回归更改引起的(在版本 3.3 之前,/etc/shadow 使用行“root:!::0:::::”,在弃用标志“-d”开始添加行“root:::0:::::”。 问题已初步确定并 2015年XNUMX月,但XNUMX月又错了 在实验分支的构建文件中,然后转移到稳定构建。
漏洞信息指出,该问题也出现在Alpine Docker 3.9最新分支中。 三月 Alpine 开发商 补丁和漏洞 从版本 3.9.2、3.8.4、3.7.3 和 3.6.5 开始,但仍保留在已停产的旧分支 3.4.x 和 3.5.x 中。 此外,开发人员声称攻击向量非常有限,并且要求攻击者能够访问相同的基础设施。
来源: opennet.ru