思科安全研究人員 漏洞資訊 (CVE-2019-5021) Alpine 發行版用於 Docker 容器隔離系統。已發現問題的本質是 root 使用者預設密碼為空,但並未阻止 root 使用者直接登入。需要注意的是,Alpine 用於生成 Docker 專案的官方映像(此前,官方建置基於 Alpine)。 Ubuntu但後來又出現了 阿爾卑斯山)。
這個問題自 Alpine Docker 3.3 構建以來就一直存在,是由 2015 年添加的回歸更改引起的(在版本 3.3 之前,/etc/shadow 使用行“root:!::0:::::”,在棄用標誌“-d”開始新增行“root:::0:::::”。 問題已初步確定並 2015年XNUMX月,但XNUMX月又錯了 在實驗分支的建置文件中,然後轉移到穩定建置。
漏洞資訊指出,該問題也出現在Alpine Docker 3.9最新分支。 三月 Alpine 開發商 修補程式和漏洞 從版本 3.9.2、3.8.4、3.7.3 和 3.6.5 開始,但仍保留在已停產的舊分支 3.4.x 和 3.5.x 中。 此外,開發人員聲稱攻擊向量非常有限,並且要求攻擊者能夠存取相同的基礎設施。
來源: opennet.ru
