AlpineLinuxDocker鏡像安全漏洞

Alpine Linux 發(fā)行版向來以輕巧和安全而被大家熟知，但最近思科安全研究人員卻發(fā)現(xiàn) Alpine Linux 的 Docker 鏡像存在一個已有三年之久的安全漏洞，通過該漏洞可使用空密碼登錄 root 帳戶。

成都創(chuàng)新互聯(lián)公司專注于安達網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供安達營銷型網(wǎng)站建設，安達網(wǎng)站制作、安達網(wǎng)頁設計、安達網(wǎng)站官網(wǎng)定制、小程序制作服務，打造安達網(wǎng)絡公司原創(chuàng)品牌,更為您提供安達網(wǎng)站排名全網(wǎng)營銷落地服務。

該漏洞的編號為CVE-2019-5021，嚴重程度評分為 9.8 分，最早在 Alpine Linux Docker 鏡像 3.2 版本中被發(fā)現(xiàn)，并于2015年11月進行了修復，還添加了回歸測試以防止將來再發(fā)生。

但后來為了簡化回歸測試，Alpine Linux Docker 鏡像的 GitHub 倉庫合并了一個新的 commit，而正是這個 commit 導致了錯誤的回歸，并在 3.3 之后的版本中(包括 Alpine Docker Edge)都保留了這個漏洞。

v3.5(EOL)

v3.4(EOL)

v3.3(EOL)

目前該漏洞已被修復。

官方對這個漏洞的描述為：如果在 Docker 容器中安裝了 shadow 軟件包并以非 root 用戶身份運行服務，那么具有 shell 訪問權限的用戶可在容器內(nèi)對賬號進行提權。

▲密碼以加密形式保存，但允許以 root 身份登錄而無需輸入任何密碼

該漏洞僅針對Alpine Linux 的 Docker 鏡像版本，且安裝了shadow或linux-pam軟件包才會受影響。

對于使用較舊的、不受支持的版本，可以將以下命令添加到 Dockerfile 來修復漏洞：成都服務器托管

1. #makesurerootloginisdisabled
2. RUNsed-i-e's/^root::/root:!:/'/etc/shadow

或者卸載shadow或linux-pam軟件包。

Alpine Linux Docker 鏡像是一個十分小巧的鏡像，大小僅 5MB，遠小于其他 Linux 發(fā)行版，在Docker Hub的下載次數(shù)已超過千萬。

分享題目：AlpineLinuxDocker鏡像安全漏洞
文章鏈接：http://www.muchs.cn/article8/dgop.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、網(wǎng)站排名、服務器托管、靜態(tài)網(wǎng)站、網(wǎng)站制作、營銷型網(wǎng)站建設

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)