CVE-2019-5021 è una vulnerabilità nelle immagini ufficiali finestra mobile basata sulla distro Linux alpino. Il difetto è stato lì per almeno tre anni, permettendo l'accesso al root tramite una password vuota.
Il bug è stato inizialmente scoperto e patchato in 2015 in in costruzione 3.2 immagine alpino Linux Docker di, quando i test di regressione sono stati inclusi per evitare exploit future. Tuttavia, un nuovo commit è stato spinto nello stesso anno destinata a semplificare test di regressione, e qui è dove le cose andavano male.
Qual è CVE-2019-5021 tutto su?
Secondo la descrizione ufficiale, versioni delle immagini ufficiali alpino Linux Docker (poiché V3.3) contenere una password NULL per l'utente `root`. Il difetto è probabilmente il risultato di una regressione introdotta nel dicembre del 2015.
A causa della natura di questo problema, sistemi distribuiti utilizzando versioni interessate del contenitore alpino Linux che utilizzano Linux PAM, o qualche altro meccanismo che utilizza il file system ombra come un database di autenticazione, può accettare una password NULL per l'utente `root`, l'advisory ufficiale dice.
Il problema era riscoperto da Peter Adkins di Cisco Umbrella all'inizio di quest'anno. La questione non deve essere trascurato come l'immagine ufficiale alpino Linux Docker ha oltre 10 milione di download.
Qual è la mitigazione?
L'account di root dovrebbe essere esplicitamente disabilitato nelle immagini Docker costruita utilizzando versioni interessate come base, dice Cisco Talos. Un successo exploit della vulnerabilità dipende l'ambiente e richiede il servizio esposto ad utilizzare RAM Linux o un altro meccanismo che utilizza il file system ombra come un database di autenticazione.
In aggiunta, supportato build sono stati aggiornati e sono “ora generato solo dal minirootfs monte tarballs,” come rivelato da un commit da Natanael Copa, il creatore di Linux alpino. Stampa e aggiornare gli script sono stati riscritta e spostato nel repository immagine alpino Linux ufficiale sul portale Docker, hanno detto i ricercatori.