思科安全研究人員 漏洞資訊 (CVE-2019-5021) Docker 容器隔離系統的 Alpine 發行版。 所發現問題的本質是root使用者的預設密碼被設定為空密碼,而沒有阻止以root身分直接登入。 讓我們記住,Alpine 用於從 Docker 專案生成官方映像(之前的官方版本是基於 Ubuntu 的,但後來有了 阿爾卑斯山)。
這個問題自 Alpine Docker 3.3 構建以來就一直存在,是由 2015 年添加的回歸更改引起的(在版本 3.3 之前,/etc/shadow 使用行“root:!::0:::::”,在棄用標誌“-d”開始新增行“root:::0:::::”。 問題已初步確定並 2015年XNUMX月,但XNUMX月又錯了 在實驗分支的建置文件中,然後轉移到穩定建置。
漏洞資訊指出,該問題也出現在Alpine Docker 3.9最新分支。 三月 Alpine 開發商 修補程式和漏洞 從版本 3.9.2、3.8.4、3.7.3 和 3.6.5 開始,但仍保留在已停產的舊分支 3.4.x 和 3.5.x 中。 此外,開發人員聲稱攻擊向量非常有限,並且要求攻擊者能夠存取相同的基礎設施。
來源: opennet.ru