investigaciones de seguridad de empresa Cisco dan a conocer datos sobre la vulnerabilidad CVE-2.019 a 5.021 en las asambleas de distributiva Alpine para el sistema acoplable aislamiento envase.
TLa esencia del problema identificado es que para "raíz"El usuario estaba configurado de forma predeterminada con una contraseña vacía sin bloquear la entrada directa en"raíz”.“Debido a la naturaleza de este problema, sistemas implementados con versiones afectadas del contenedor Alpine Linux que utilizan Linux PAM, o algún otro mecanismo que utilice el archivo de sombra del sistema como base de datos de autenticación, puede aceptar una contraseña NULL para el usuario root ", - Informe de los investigadores de Cisco Talos.
Vale la pena recordar que Alpine se utiliza para la creación de imágenes digitales en el proyecto Docker. (los ensamblajes anteriores se basaron en Ubuntu, pero luego fueron transitados en Alpine).
Problema manifestado desde Docker alpino 3.3. montaje, y fue causado por un cambio progresivo que se agregó en 2015 (para 3.3 versión en “/etc / shadow fue usado “raíz:!::0:::::” línea, y después del cese de “-re” uso de la bandera la línea “raíz:::0:::::” comenzó a agregarse.
El problema se detectó y solucionó inicialmente en noviembre 2015, pero en un mes por error planteado en archivos de ensamblaje de la rama experimental, y luego fue transitado en asambleas finales.
“Después de las discusiones con Alpine Linux, se descubrió que este problema también se informó en su Github antes de nuestro informe, pero no se marcó como un problema de seguridad y, por lo tanto, permaneció sin resolver hasta que Cisco lo redescubrió e informó ”., - dicen investigadores.
En los detalles de la vulnerabilidad se indica que el problema se manifiesta en la última rama. Docker alpino 3.9. Desarrolladores alpinos en marzo 2019 lanzó un parche y la vulnerabilidad no se manifiesta en los ensamblados 3.9.2, 3.8.4, 3.7.3 y 3.6.5, pero conservado en ramas más viejas 3.4.X y 3.5.X, que no son compatibles actualmente.
ADEMÁS, Los desarrolladores argumentan que el vector de ataque es bastante limitado y el ataque debería tener acceso a la misma infraestructura..
La cuenta raíz debe deshabilitarse explícitamente en las imágenes de Docker creadas utilizando las versiones afectadas como base. La probabilidad de explotación de esta vulnerabilidad depende del medio ambiente., ya que la explotación exitosa requiere que un servicio o aplicación expuesta utilice Linux PAM, o algún otro mecanismo que utilice el archivo de sombra del sistema como base de datos de autenticación.
Fuente: https://talosintelligence.com/
