Alpine Linux Docker tasvirlari uch yil davomida bo’sh parol bilan tarqatilgan.
3.3 versiyasidan boshlangan barcha Alpine Linux Docker tasvirlari zaif
So’nggi uch yil ichida rasmiy Docker Hub portali orqali tarqatilgan Alpine Linux Docker tasvirlari bo’sh superfoydalanuvchi parolini o’z ichiga oladi. Cisco Talos jamoasi tadqiqotchilari bu muammoga e’tibor qaratdi. 3.3-versiyadan boshlangan barcha Alpine Linux Docker tasvirlari zaif (CVE-2019-5021). PAM (Pluggable Authentication Modules) yoki /etc/shadow faylini manba sifatida ishlatadigan boshqa autentifikatsiya mexanizmi qo’llanganda, tizim superfoydalanuvchi huquqlariga ega foydalanuvchiga bo’sh parol bilan tizimga kirishga ruxsat berishi mumkin.
Muammo birinchi marta 2015 yil avgust oyida aniqlangan va shu yil noyabr oyida tuzatilgan. Biroq, u 2015 yilda kiritilgan regressiv o’zgarish tufayli biroz vaqt o’tib yana paydo bo’ldi (3.3 versiyasigacha /etc/shadow faylida «root:!::0:::::» satri ishlatilgan, ammo «-d» bayrog’i bekor qilingach, «root:::0:::::» satri qo’shilgan).
Zaiflik quyidagi versiyalarda tuzatildi: edge (20190228 snapshot), v3.9.2, v3.8.4, v3.7.3, v3.6.5.
Alpine Linux — xavfsizlik, yengillik va kam resurs talabiga e’tibor qaratgan Linux distributivi. musl va BusyBox asosida, u standart bo’yicha PaX va grsec yadro yamog’laridan foydalanadi va barcha paketlar stak to’lib-toshib ketishdan himoya qilish bilan kompilyatsiya qilinadi.
