基于Alpine Linux 发行版本的Docker 官方镜像中被曝存在严重漏洞,在三年多的时间里,无需使用密码即可访问后门账户。
这个漏洞 CVE-2019-5021 的评分为9.8,最初据称存在于 Alpine Linux Docker 镜像 3.2 版本中并于2015年11月修复,通过添加回归测试阻止其再次发生。
Bug 回归仍未被发现
然而,2015年年末,一个新的提交发布以简化该回归测试。思科 Talos 团队指出,“这就导致逻辑认为回归已被简化,导致如果根密码再次被删除则测试被错误‘满足’。”
后续提交从‘edge’构建属性文件中删除了“默认情况下禁用 root”的标志,导致该 bug 在镜像的下一批版本(v3.3 到3.9)中回归。
结果就是 /etc/shadow 中出现空 sp_pwdp 字段,即将密码以加密形式保存的配置文件用户账户管理,从而允许在无需输入任何密码的情况下以根权限登录。
思科 Umbrella 团队的研究员 Peter Adkins 在今年年初再次发现这个问题并曝光与众。Alpine Linux Docker 官方镜像的下次次数已超过1000万次。
2019年3月8日,漏洞得到修复并关闭,但实际上早在2018年8月5日就发现了这个问题,因此本可以早点修复,但由于它并未被认为是安全问题,因此并未及时修复。
Alpine Linux 的创建者 Natanael Copa 指出,所有受支持的版本均已更新,且“仅从上游 minirootfs tarball 生成”。发布和更新脚本已被重构并被移至 Docker 门户网站上的 Alpine Linux 官方镜像存储库中。
要缓解仍然运行易受攻击的 Alpine Linux 容器版本的系统上的问题,思科 Talos 团队建议禁用该后门账户。该团队指出,“这个漏洞遭利用的可能性依赖于环境,因为成功利用要求被暴露的服务或应用程序使用 Linux PAM或者其它使用系统影子文件作为认证数据库的机制。”
本文由代码卫士翻译自BleepingComputer
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。