Αρχεία εγκατάστασης (images) της διανομής Alpine Linux Docker μέσω του επίσημου Docker Hub portal, τα τελευταία 3 1/2 χρόνια δανέμονται με τον root account να χρησιμοποιεί κενό (NULL) password, σύμφωνα με ερευνητές της Cisco και όλες οι εκδόσεις από την v3.3 είναι ευάλλωτες.
Το πρόβλημα εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2015, έκλεισε με patch τον Νοέμβριο της ίδιας χρονιάς και δημιουργήθηκε πάλι 3 εβδομάδες μετά. Η Cisco το εντόπισε ξανά, μόλις τον Ιανουάριο του 2019. Τα συστήματα που χρησιμοποιούν τις ευάλωτες εκδόσεις κινδυνεύουν από πλήθος επιθέσεων. Η ευπάθεια πήρε το CVE-2019-5021.
Αναλυτικά : Talos IntelligenceVersions of the Official Alpine Linux Docker images (since v3.3) contain a NULL password for the `root` user. This vulnerability appears to be the result of a regression introduced in December of 2015. Due to the nature of this issue, systems deployed using affected versions of the Alpine Linux container which utilize Linux PAM, or some other mechanism which uses the system shadow file as an authentication database, may accept a NULL password for the `root` user.
Εμφάνιση 1-11 από 11
-
09-05-19, 11:56 Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.113
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
09-05-19, 12:13 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #2
Ρε τους άμπαλους...
Ενα if είναι ..
-
09-05-19, 13:20 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #3
-
09-05-19, 15:19 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #4
-
09-05-19, 23:10 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #5
Εντάξει.. το docker του alpine όπως διανέμεται έχει κενό password... αντε από default να είχε password "alpine" ή κάτι τέτοιο για να μην είναι κενό... που είναι το πρόβλημα? Ειναι κενό ασφαλείας αυτο?
Αυτοί που το χρησιμοποιούν και το βγάζουν σε public ΙP, οφείλουν να βάλουν password....
-
10-05-19, 09:10 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #6
Ουτε στα windows 3 δε γινοταν αυτο...................
Άλλα Ντάλλα....
-
10-05-19, 10:59 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #7
-
10-05-19, 18:59 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #8
H ανακοίνωση της διανομής ξεκαθαρίζει ποιο είναι το πρόβλημα:
https://alpinelinux.org/posts/Docker...2019-5021.htmlIt is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
10-05-19, 19:32 Re: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #9
Δεν γνώριζα την διανομή αλλά μου κίνησε την περιέργεια το minimal. Αξίζει τον κόπο? Έναν Firefox, ένα Jupyter και ένα Transmission θέλω να τρέχω. Όχι πολλά πολλά.
Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
11-05-19, 11:45 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #10
Ειναι διανομή που χρησιμοποιείται κυρίως μέσω του docker (κάτι σαν virtualbox αλλά πολύ πιο ελαφρύ, αφού δεν είναι virtualpc). Το docker εχει γίνει εξαιρετικά δημοφιλές τελευταία γιατί σου επιτρέπει να έχεις σε ενα μηχάνημα πολλά μικρά containers (τα βλέπεις σαν virtualpc) που το καθένα από αυτά μπορεί να είναι ένα μικρό linux (βλέπε alpine) και σε αυτό βαζεις ότι θελεις. Από τη μια μπορείς να έχεις πολλά μικρά containers και από την άλλη γλιτώνεις όλη τη φασαρία setup και εγκατάστασης του server ή των services στο κυρίως σύστημα. Φιάχνεις το container, το ρυθμίζεις και το μεταφέρεις όπου θέλεις και παίζει όπως είναι. Νομίζω ότι δεν υποστηρίζονται gui στα containers ή αν το κάνει είναι πολύ περιορισμένο. Ενδεικτικά το default container του alpine είναι μόνο 5ΜΒ, απότε καταλαβαίνετε πόσο μικρά μπορούν να γίνουν τα containers με αυτό.
@Zus, το alpine μπορεί να εγκατασταθεί κανονικά σαν κυριο λειτουργικό σε κάποιο pc, οπότε μπορείς να εγκαταστήσεις xfce και ότι άλλο θέλεις.Τελευταία επεξεργασία από το μέλος Slammer : 11-05-19 στις 11:57.
-
21-05-19, 10:43 Απάντηση: Hardcoded ευπάθεια στην διανομή Alpine Linux Docker, αποδέχεται NULL password για τον root #11
Έχει και συνέχεια το έργο
https://www.bleepingcomputer.com/new...oot-passwords/
Bookmarks