CVE-2019-5021は、AlpineLinuxディストリビューションに基づく公式Dockerイメージの脆弱性です. 欠陥は少なくとも3年間そこにありました, 空白のパスワードを使用してrootアカウントにログインできるようにする.
バグは最初に発見され、パッチが適用されました 2015 ビルドで 3.2 AlpineLinuxDockerイメージの, 将来のエクスプロイトを防ぐために回帰テストが含まれた場合. でも, 回帰テストを簡素化することを目的として、同じ年の後半に新しいコミットがプッシュされました, そしてここで物事がうまくいかなかった.
CVE-2019-5021とは何ですか?
公式の説明によると, 公式のAlpineLinuxDockerイメージのバージョン (v3.3以降) `root`ユーザーのNULLパスワードが含まれている. この欠陥は、12月に導入されたリグレッションの結果である可能性が最も高いです。 2015.
この問題の性質上, LinuxPAMを利用する影響を受けるバージョンのAlpineLinuxコンテナを使用してデプロイされたシステム, または、システムシャドウファイルを認証データベースとして使用するその他のメカニズム, `root`ユーザーのNULLパスワードを受け入れる可能性があります, 公式アドバイザリーは言う.
問題は ピーターアドキンスによって再発見 今年初めのCisco傘の. 公式のAlpineLinuxDockerイメージが終わったので、この問題を見逃してはなりません。 10 百万ダウンロード.
緩和策は何ですか?
影響を受けるバージョンをベースとして使用してビルドされたDockerイメージでは、rootアカウントを明示的に無効にする必要があります, CiscoTalosは言います. 脆弱性の悪用の成功は環境に依存し、公開されたサービスがLinuxRAMまたはシステムシャドウファイルを認証データベースとして使用する別のメカニズムを利用する必要があります.
加えて, サポートされているビルドが更新され、 “現在、上流のminirootfstarballからのみ生成されています,” ナタナエルコパからのコミットによって明らかにされたように, AlpineLinuxの作成者. リリースおよび更新スクリプトがリファクタリングされ、Dockerポータルの公式AlpineLinuxイメージリポジトリに移動されました, 研究者は言った.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: