CVE-2019-5021 er en sårbarhed i de officielle Docker billeder baseret på Alpe Linux distro. Fejlen har været der i mindst tre år, tillader at logge ind i roden konto via en tom adgangskode.
Fejlen blev først opdaget og lappet i 2015 i i build 3.2 af Alpine Linux Docker billede, når regressionstest blev inkluderet for at forhindre fremtidige udnyttelser. Men, en ny begå blev skubbet senere samme år betød at forenkle regressionstest, og her er hvor tingene gik galt.
Hvad er CVE-2019-5021 handler om?
Ifølge den officielle beskrivelse, versioner af de officielle Alpine Linux Docker billeder (siden v3.3) indeholde en NULL adgangskode til `root` bruger. Fejlen er sandsynligvis et resultat af en regression introduceret i december 2015.
På grund af karakteren af dette spørgsmål, systemer implementeres ved hjælp berørte versioner af Alpine Linux beholder, der anvender Linux PAM, eller en anden mekanisme, som anvender systemet skygge filen som en authentication database, kan acceptere en NULL adgangskode til `root` bruger, den officielle rådgivende siger.
Problemet var genopdaget af Peter Adkins Cisco Umbrella tidligere på året. Spørgsmålet ikke bør overses som den officielle Alpine Linux Docker billedet har over 10 million downloads.
Hvad er det afbødning?
Root-kontoen skal udtrykkeligt deaktiveret i Docker billeder bygget ved hjælp berørte versioner som base, siger Cisco Talos. En vellykket udnyttelse af sårbarheden er afhængig af miljø og kræver den udsatte tjeneste at udnytte Linux RAM eller en anden mekanisme, der bruger systemet skygge filen som en authentication database.
Desuden, støttet builds er blevet opdateret og er “nu kun genereres fra opstrøms minirootfs tarballs,” som afsløret ved en begå fra Natanael Copa, skaberen af Alpine Linux. Release og opdatere scripts er blevet omstruktureret og flyttet til den officielle Alpine Linux billedet repository på Docker portalen, forskerne sagde.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: