root账户也敢不设密码，Alpine Linux 你在搞事呀！

我想，应该没有一个开发者敢说，我没有用过Docker。而作为一个只有 5M 的 Docker 镜像——AlpineLinux，更是深受开发者喜爱。

近日，思科的安全研究人员却透露，在过去的三年半中，通过官方Docker Hub门户分发的Alpine Linux Docker镜像root帐户一直使用的空(NULL) 密码。

什么是AlpineLinux？

Alpine Linux 是一个社区开发的面向安全应用的轻量级 Linux 发行版。适合用来做路由器、防火墙、 VPNs、VoIP 盒子以及服务器的操作系统。不同于Linux通用发行版， Alpine Linux 采 用了 musl libc 和 busybox 以减小系统的体积和运行时的资源消耗。

Alpine Linux 除了“瘦小”以外，另一个大优势就是提供了自己的管理 工具 包apk，相较于busybox等其他微型基础镜像， Alpine Linux 可以直接通过 apk 命令快速构建应用镜像。它在 Docker Hub 上排行高居第二，下载量超过1000万。

漏洞定级为超危

2018年OWASP 对“弱口令” 漏洞的排行依然稳居 top 10 , 但Alpine LinuxDocker 镜像的root帐户密码居然为NULL 。

据思科人员介绍，该漏洞于2015年8月首次发现，官方于同年11月进行了漏洞修复。但是在漏洞修复的几周后，又因为开发人员的意外操作，删除了禁用root用户的设置，使漏洞重新出现。直到今年1月，思科的研究员才重新发现漏洞仍然存在。

思科安全研究人员表示，用受此漏洞影响的镜像所构建的环境，有直接被攻击者控制的风险。攻击者可以使用root用户以空密码验证身份登陆系统，以此来获得更高的权限去使用项目代码。遭受漏洞影响最大的为Web系统，但内部系统也不容忽视。

该漏洞最初被认为只影响了 Glider Labs Alpine Linux Docker 图像，但后来发现它还影响了官方图像。CVE迅速对此漏洞进行了收录，编号为CVE- 2019-5021， 漏洞等级定级为超危。受此漏洞影响的版本为 Alpine Linux Docker 3.3及 以上版本和Edge版本。

值得注意的是，此漏洞能否利用成功取决于配置环境，成功利用需要配置环境暴露远程登陆服务或应用程序使用Linux PAM [可插入身份验证模块]，或使用系统使用shadow文件作为身份验证数据库。

冷静应对超危漏洞

虽然官方暂未发布任何修复措施来解决此安全问题，但小编还是建议大家：

1、使用者应该修改现有系统的设置以禁用root帐户

2、为root账户设置新的密码

3、将旧的镜像重新构建更新为最新的镜像

4、检查root用户是否被启用，如果确认被启用则需要手动设置密码。

文章来源：threatpost

- End -

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多资讯