圖片來源:https://alpinelinux.org/

Alpine Linux以輕巧著稱大受歡迎,但思科安全人員發現Alpine Linux Docker映像檔一個根帳號用戶密碼值為NULL的漏洞,允許攻擊者繞過密碼檢測存取系統。

思科旗下Talos Lab研究人員發現,編號CVE-2019-5021的漏洞會使Alpine Linux Docker部署的系統,在根帳號密碼欄位接受以空白(即NULL值)登入,可能遭駭客劫持,其中又以面向Web的系統風險最高。

這項漏洞曾在2015年發現並修補過,但在當年底一次迴歸測試中又陰錯陽差造成,導致3.3版以後包括Alpine Docker Edge的官方Alpine Linux Docker映像檔,都保留這個漏洞。

思科研究人員表示,在該公司通報之前,就有人在GitHub上反映這項問題,但並未被Alpine Linux列為安全漏洞,也一直未解決。

成功開採本漏洞需要服務或App使用Linux PAM(pluggable authentication module)或是使用系統Shadow檔作為驗證資料庫的機制。本漏洞在CVSS 3.0風險評分中被列為9.8分,滿分為10分。為免系統被不當存取,上述版本的用戶應儘速關閉根帳號。

Alpine Linux的Docker映像檔僅5MB,遠小於其他Linux發行版,在Docker Hub下載次數超過千萬。 


Advertisement

更多 iThome相關內容