Docker-образы Alpine Linux три года распространялись с пустым паролем

Docker-образы Alpine Linux последние три года распространяющиеся через официальный портал Docker Hub содержат пустой пароль суперпользователя. На проблему обратили внимание исследователи из команды Cisco Talos.

Уязвимости (CVE-2019-5021) подвержены все Docker- образы Alpine Linux, начиная с версии 3.3. При использовании PAM (Pluggable Authentication Modules, подключаемые модули аутентификации) или другого механизма аутентификации, использующего файл /etc/shadow в качестве источника, система может позволить вход пользователю с правами суперпользователя с пустым паролем.

Проблема впервые была обнаружена в августе 2015 года и исправлена в ноябре того же года. Однако чуть позже появилась вновь из-за регрессивного изменения, добавленного в 2015 году (до версии 3.3 в /etc/shadow использовалась строка "root:!::0:::::", а после из-за прекращения использования флага "-d" стала добавляться строка "root:::0:::::").

Уязвимость исправлена в версиях: edge (20190228 snapshot), v3.9.2, v3.8.4, v3.7.3, v3.6.5.

Alpine Linux - дистрибутив Linux, ориентированный на безопасность, легковесность и нетребовательность к ресурсам. Основан на musl и BusyBox, по умолчанию использует патчи ядра PaX и grsec, все пакеты компилируются с защитой от переполнения стека.