AlpineLinuxDocker鏡像安全漏洞

Alpine Linux 發(fā)行版向來以輕巧和安全而被大家熟知，但最近思科安全研究人員卻發(fā)現(xiàn) Alpine Linux 的 Docker 鏡像存在一個(gè)已有三年之久的安全漏洞，通過該漏洞可使用空密碼登錄 root 帳戶。

成都創(chuàng)新互聯(lián)公司專注于安達(dá)網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。熱誠為您提供安達(dá)營銷型網(wǎng)站建設(shè)，安達(dá)網(wǎng)站制作、安達(dá)網(wǎng)頁設(shè)計(jì)、安達(dá)網(wǎng)站官網(wǎng)定制、小程序制作服務(wù)，打造安達(dá)網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供安達(dá)網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

該漏洞的編號為CVE-2019-5021，嚴(yán)重程度評分為 9.8 分，最早在 Alpine Linux Docker 鏡像 3.2 版本中被發(fā)現(xiàn)，并于2015年11月進(jìn)行了修復(fù)，還添加了回歸測試以防止將來再發(fā)生。

但后來為了簡化回歸測試，Alpine Linux Docker 鏡像的 GitHub 倉庫合并了一個(gè)新的 commit，而正是這個(gè) commit 導(dǎo)致了錯(cuò)誤的回歸，并在 3.3 之后的版本中(包括 Alpine Docker Edge)都保留了這個(gè)漏洞。

v3.5(EOL)

v3.4(EOL)

v3.3(EOL)

目前該漏洞已被修復(fù)。

官方對這個(gè)漏洞的描述為：如果在 Docker 容器中安裝了 shadow 軟件包并以非 root 用戶身份運(yùn)行服務(wù)，那么具有 shell 訪問權(quán)限的用戶可在容器內(nèi)對賬號進(jìn)行提權(quán)。

▲密碼以加密形式保存，但允許以 root 身份登錄而無需輸入任何密碼

該漏洞僅針對Alpine Linux 的 Docker 鏡像版本，且安裝了shadow或linux-pam軟件包才會受影響。

對于使用較舊的、不受支持的版本，可以將以下命令添加到 Dockerfile 來修復(fù)漏洞：成都服務(wù)器托管

#makesurerootloginisdisabled
RUNsed-i-e's/^root::/root:!:/'/etc/shadow

或者卸載shadow或linux-pam軟件包。

Alpine Linux Docker 鏡像是一個(gè)十分小巧的鏡像，大小僅 5MB，遠(yuǎn)小于其他 Linux 發(fā)行版，在Docker Hub的下載次數(shù)已超過千萬。

分享題目：AlpineLinuxDocker鏡像安全漏洞
文章鏈接：http://bm7419.com/article8/dgop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、網(wǎng)站排名、服務(wù)器托管、靜態(tài)網(wǎng)站、網(wǎng)站制作、營銷型網(wǎng)站建設(shè)

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容