首页 > 安全钻研 > 安全传递 > 安全公告

Alpine Linux Docker安全缝隙安全公告

颁布功夫 2019-05-10

缝隙编号和级别

CVE编号：CVE-2019-5021，危险级别：严沉，CVSS分值：厂商自评：9.8，官方未评定

影响版本

Alpine Linux Docker 3.3版本，3.4版本，3.5版本，3.6版本，3.7版本，3.8版本，3.9版本，Edge版本

缝隙概述

Alpine Linux Docker是一个Alpine Linux系统的镜像。

Alpine Linux Docker镜像的版本（自v3.3起）蕴含root用户的NULL密码。这个缝隙遭利用的可能性依赖于环境，成功利用要求被露出的服务或利用法式使用Linux PAM或者其它使用系统shadow文件作为认证数据库的机造。

这个缝隙最初据称存在于Alpine Linux Docker镜像3.2版本中并于2015年11月建复，通过增长回归测试阻止其再次产生。然而，2015年岁暮，一个新的提交颁布以简化该回归测试。后续提交从‘edge’构建属性文件中删除了“默认情况下禁用root”的标志，导致该bug在镜像的下一批版本（v3.3到3.9）中回归。了局就是/etc/shadow中出现空sp_pwdp字段，即将密码以加密大局保留的配置文件用户账户治理，从而允许在无需输入任何密码的情况下以根权限登录。

Alpine Linux Docker 官方镜像的下次次数已超过1000万次。

缝隙验证

暂无POC/EXP。

建复建议

目前厂商已颁布以下版本解决此安全问题：https://alpinelinux.org/posts/Docker-image-vulnerability-CVE-2019-5021.html。

edge (20190228 snapshot)
v3.9.2
v3.8.4
v3.7.3

v3.6.5

如下版本没有解决此安全问题：
v3.5
v3.4

v3.3

若是使用任何较旧的不受支持的版本，那么您能够通过将此行增长到Dockerfile来建复它，确保禁用root登录：

GA黄金甲·(中国区)官方网站

参考链接

https://alpinelinux.org/posts/Docker-image-vulnerability-CVE-2019-5021.html

https://talosintelligence.com/vulnerability_reports/TALOS-2019-0782

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Alpine Linux Docker安全缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线