Alpine Linux以轻巧著称大受欢迎,但思科安全人员发现Alpine Linux Docker镜像文件一个根帐号用户密码值为NULL的漏洞,允许攻击者绕过密码检测访问系统。
思科旗下Talos Lab研究人员发现,编号CVE-2019-5021的漏洞会使Alpine Linux Docker部署的系统,在根帐号密码字段接受以空白(即NULL值)登录,可能遭黑客劫持,其中又以面向Web的系统风险最高。
这项漏洞曾在2015年发现并修补过,但在当年底一次回归测试中又阴错阳差造成,导致3.3版以后包括Alpine Docker Edge的官方Alpine Linux Docker镜像文件,都保留这个漏洞。
思科研究人员表示,在该公司通报之前,就有人在GitHub上反映这项问题,但并未被Alpine Linux列为安全漏洞,也一直未解决。
成功开采本漏洞需要服务或App使用Linux PAM(pluggable authentication module)或是使用系统Shadow档作为验证数据库的机制。本漏洞在CVSS 3.0风险评分中被列为9.8分,满分为10分。为免系统被不当访问,上述版本的用户应尽快关闭根帐号。
Alpine Linux的Docker镜像文件仅5MB,远小于其他Linux发行版,在Docker Hub下载次数超过千万。