CVE-2019-5021は、AlpineLinuxディストリビューションに基づく公式Dockerイメージの脆弱性です. 欠陥は少なくとも3年間そこにありました, 空白のパスワードを使用してrootアカウントにログインできるようにする.
バグは最初に発見され、パッチが適用されました 2015 ビルドで 3.2 AlpineLinuxDockerイメージの, 将来のエクスプロイトを防ぐために回帰テストが含まれた場合. でも, 回帰テストを簡素化することを目的として、同じ年の後半に新しいコミットがプッシュされました, そしてここで物事がうまくいかなかった.
CVE-2019-5021とは何ですか?
公式の説明によると, 公式のAlpineLinuxDockerイメージのバージョン (v3.3以降) `root`ユーザーのNULLパスワードが含まれている. この欠陥は、12月に導入されたリグレッションの結果である可能性が最も高いです。 2015.
この問題の性質上, LinuxPAMを利用する影響を受けるバージョンのAlpineLinuxコンテナを使用してデプロイされたシステム, または、システムシャドウファイルを認証データベースとして使用するその他のメカニズム, `root`ユーザーのNULLパスワードを受け入れる可能性があります, 公式アドバイザリーは言う.
問題は ピーターアドキンスによって再発見 今年初めのCisco傘の. 公式のAlpineLinuxDockerイメージが終わったので、この問題を見逃してはなりません。 10 百万ダウンロード.
緩和策は何ですか?
影響を受けるバージョンをベースとして使用してビルドされたDockerイメージでは、rootアカウントを明示的に無効にする必要があります, CiscoTalosは言います. 脆弱性の悪用の成功は環境に依存し、公開されたサービスがLinuxRAMまたはシステムシャドウファイルを認証データベースとして使用する別のメカニズムを利用する必要があります.
加えて, サポートされているビルドが更新され、 “現在、上流のminirootfstarballからのみ生成されています,” ナタナエルコパからのコミットによって明らかにされたように, AlpineLinuxの作成者. リリースおよび更新スクリプトがリファクタリングされ、Dockerポータルの公式AlpineLinuxイメージリポジトリに移動されました, 研究者は言った.