Alpine Linux Docker映像檔，爆出根帳號無密碼登入漏洞

Alpine Linux以輕巧著稱大受歡迎，但思科安全人員發現Alpine Linux Docker映像檔一個根帳號用戶密碼值為NULL的漏洞，允許攻擊者繞過密碼檢測存取系統。

思科旗下Talos Lab研究人員發現，編號CVE-2019-5021的漏洞會使Alpine Linux Docker部署的系統，在根帳號密碼欄位接受以空白（即NULL值）登入，可能遭駭客劫持，其中又以面向Web的系統風險最高。

這項漏洞曾在2015年發現並修補過，但在當年底一次迴歸測試中又陰錯陽差造成，導致3.3版以後包括Alpine Docker Edge的官方Alpine Linux Docker映像檔，都保留這個漏洞。

思科研究人員表示，在該公司通報之前，就有人在GitHub上反映這項問題，但並未被Alpine Linux列為安全漏洞，也一直未解決。

成功開採本漏洞需要服務或App使用Linux PAM（pluggable authentication module）或是使用系統Shadow檔作為驗證資料庫的機制。本漏洞在CVSS 3.0風險評分中被列為9.8分，滿分為10分。為免系統被不當存取，上述版本的用戶應儘速關閉根帳號。

Alpine Linux的Docker映像檔僅5MB，遠小於其他Linux發行版，在Docker Hub下載次數超過千萬。