>> サイバーニュース > CVE-2019-5021: AlpineLinuxに基づく公式Dockerイメージのバグ
サイバーニュース

CVE-2019-5021: AlpineLinuxに基づく公式Dockerイメージのバグ

CVE-2019-5021は、AlpineLinuxディストリビューションに基づく公式Dockerイメージの脆弱性です. 欠陥は少なくとも3年間そこにありました, 空白のパスワードを使用してrootアカウントにログインできるようにする.




バグは最初に発見され、パッチが適用されました 2015 ビルドで 3.2 AlpineLinuxDockerイメージの, 将来のエクスプロイトを防ぐために回帰テストが含まれた場合. でも, 回帰テストを簡素化することを目的として、同じ年の後半に新しいコミットがプッシュされました, そしてここで物事がうまくいかなかった.

CVE-2019-5021とは何ですか?

公式の説明によると, 公式のAlpineLinuxDockerイメージのバージョン (v3.3以降) `root`ユーザーのNULLパスワードが含まれている. この欠陥は、12月に導入されたリグレッションの結果である可能性が最も高いです。 2015.

この問題の性質上, LinuxPAMを利用する影響を受けるバージョンのAlpineLinuxコンテナを使用してデプロイされたシステム, または、システムシャドウファイルを認証データベースとして使用するその他のメカニズム, `root`ユーザーのNULLパスワードを受け入れる可能性があります, 公式アドバイザリーは言う.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/cve-2018-14634-linux-mutagen-astronomy-vulnerability-affects-rhel-cent-os-distros/”] CVE-2018-14634: Linux変異原天文学の脆弱性がRHELおよびCentOSディストリビューションに影響を与える.

問題は ピーターアドキンスによって再発見 今年初めのCisco傘の. 公式のAlpineLinuxDockerイメージが終わったので、この問題を見逃してはなりません。 10 百万ダウンロード.

緩和策は何ですか?

影響を受けるバージョンをベースとして使用してビルドされたDockerイメージでは、rootアカウントを明示的に無効にする必要があります, CiscoTalosは言います. 脆弱性の悪用の成功は環境に依存し、公開されたサービスがLinuxRAMまたはシステムシャドウファイルを認証データベースとして使用する別のメカニズムを利用する必要があります.

加えて, サポートされているビルドが更新され、 “現在、上流のminirootfstarballからのみ生成されています,” ナタナエルコパからのコミットによって明らかにされたように, AlpineLinuxの作成者. リリースおよび更新スクリプトがリファクタリングされ、Dockerポータルの公式AlpineLinuxイメージリポジトリに移動されました, 研究者は言った.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します