CVE-2019-5021 est une vulnérabilité dans les images Docker officielles sur la base Alpine Linux distro. La faille a été pendant au moins trois ans, permettant la connexion au compte root via un mot de passe vide.
Le bogue a été initialement découvert et corrigé dans 2015 dans la construction en 3.2 de l'image Alpine Linux Docker, lorsque les tests de régression ont été inclus pour prévenir les futurs exploits. Cependant, un commit a été poussé plus tard la même année, vise à simplifier les tests de régression, et ici où les choses ont mal tourné.
Qu'est-ce CVE-2019-5021 Tout à propos de?
Selon la description officielle, versions des images Linux officiel Alpine Docker (depuis v3.3) contiennent un mot de passe NULL pour l'utilisateur `de root`. La faille est très probablement le résultat d'une régression introduite en Décembre 2015.
En raison de la nature de cette question, les systèmes déployés à l'aide des versions affectées du conteneur Linux Alpine qui utilisent Linux PAM, ou un autre mécanisme qui utilise le fichier d'ombre du système comme une base de données d'authentification, peut accepter un mot de passe NULL pour l'utilisateur `de root`, le dit consultatif officiel.
Le problème était redécouvert par Peter Adkins de Cisco Umbrella plus tôt cette année. La question ne doit pas être négligée comme l'image officielle Alpine Linux Docker a plus 10 millions de téléchargements.
Quel est l'atténuation?
Le compte racine doit être explicitement désactivé dans les images Docker construit en utilisant les versions affectées comme base, Cisco dit Talos. Une exploitation réussie de la vulnérabilité dépend de l'environnement et nécessite le service exposé à utiliser RAM Linux ou un autre mécanisme qui utilise le fichier d'ombre du système comme une base de données d'authentification.
En outre, soutenu builds ont été mis à jour et sont “maintenant uniquement générée à partir de minirootfs amont tarballs,” tel que révélé par un engagement de Natanael Coupe, le créateur de Linux Alpine. scripts de mise à jour et mise à jour ont été refondus et déplacé dans le dépôt d'image Linux officielle Alpine sur le portail Docker, chercheurs.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: