root账户也敢不设密码,Alpine Linux 你在搞事呀!

栏目: 编程工具 · 发布时间: 5年前

内容简介:我想,应该没有一个开发者敢说,我没有用过Docker。而作为一个只有 5M 的 Docker 镜像——AlpineLinux,更是深受开发者喜爱。近日,思科的安全研究人员却透露,在过去的三年半中,通过官方Docker Hub门户分发的Alpine Linux Docker镜像root帐户一直使用的空(NULL) 密码。

我想,应该没有一个开发者敢说,我没有用过Docker。而作为一个只有 5M 的 Docker 镜像——AlpineLinux,更是深受开发者喜爱。

近日,思科的安全研究人员却透露,在过去的三年半中,通过官方Docker Hub门户分发的Alpine Linux Docker镜像root帐户一直使用的空(NULL) 密码。

root账户也敢不设密码,Alpine Linux 你在搞事呀!

root账户也敢不设密码,Alpine Linux 你在搞事呀!

什么是AlpineLinux?

Alpine Linux 是一个社区开发的面向安全应用的轻量级 Linux 发行版。适合用来做路由器、防火墙、 VPNs、VoIP 盒子以及服务器的操作系统。不同于Linux通用发行版, Alpine Linux 采 用了 musl libc busybox 以减小系统的体积和运行时的资源消耗。

Alpine Linux 除了“瘦小”以外,另一个大优势就是提供了自己的管理 工具 包apk,相较于busybox等其他微型基础镜像, Alpine Linux 可以直接通过 apk 命令快速构建应用镜像。它在 Docker Hub 上排行高居第二,下载量超过1000万。

root账户也敢不设密码,Alpine Linux 你在搞事呀!

root账户也敢不设密码,Alpine Linux 你在搞事呀!

漏洞定级为超危

2018年OWASP 对“弱口令” 漏洞的排行依然稳居 top 10 , 但Alpine LinuxDocker 镜像的root帐户密码居然为NULL 。

据思科人员介绍,该漏洞于2015年8月首次发现,官方于同年11月进行了漏洞修复。但是在漏洞修复的几周后,又因为开发人员的意外操作,删除了禁用root用户的设置,使漏洞重新出现。直到今年1月,思科的研究员才重新发现漏洞仍然存在。

思科安全研究人员表示,用受此漏洞影响的镜像所构建的环境,有直接被攻击者控制的风险。攻击者可以使用root用户以空密码验证身份登陆系统,以此来获得更高的权限去使用项目代码。遭受漏洞影响最大的为Web系统,但内部系统也不容忽视。

该漏洞最初被认为只影响了 Glider Labs Alpine Linux Docker 图像,但后来发现它还影响了官方图像。CVE迅速对此漏洞进行了收录,编号为CVE- 2019-5021, 漏洞等级定级为超危。受此漏洞影响的版本为 Alpine Linux Docker 3.3及 以上版本和Edge版本。

值得注意的是,此漏洞能否利用成功取决于配置环境,成功利用需要配置环境暴露远程登陆服务或应用程序使用Linux PAM [可插入身份验证模块],或使用系统使用shadow文件作为身份验证数据库。

root账户也敢不设密码,Alpine Linux 你在搞事呀!

冷静应对超危漏洞

虽然官方暂未发布任何修复措施来解决此安全问题,但小编还是建议大家:

1、使用者应该修改现有系统的设置以禁用root帐户

2、为root账户设置新的密码

3、将旧的镜像重新构建更新为最新的镜像

4、检查root用户是否被启用,如果确认被启用则需要手动设置密码。

root账户也敢不设密码,Alpine Linux 你在搞事呀!

文章来源:threatpost

- End -

root账户也敢不设密码,Alpine Linux 你在搞事呀!

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多资讯


以上所述就是小编给大家介绍的《root账户也敢不设密码,Alpine Linux 你在搞事呀!》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web 2.0界面设计模式

Web 2.0界面设计模式

黄玮 / 电子工业出版社 / 2013-9-1 / 59

本书集Web 2.0的发展及特点、Web 2.0界面设计模式基本理论、实际模式实践及代码实现等诸多内容于一身,具有很强的实用性。这些内容不是简单的顺序堆砌,而是以Web 2.0界面设计模式和应用为主线,其中完美地穿插了各种与之相关的Web 2.0设计理念、用户行为模式、用户体验及基于Dojo的实现方式等相关知识,真正做到将Web 2.0界面设计模式所需要的方方面面的知识有机地融为一个整体。实现不需......一起来看看 《Web 2.0界面设计模式》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

随机密码生成器
随机密码生成器

多种字符组合密码