OpenForum RSS: Docker-образы Alpine поставлялись с пустым паролем пользоват... https://opennet.ru/openforum/vsluhforumID3/117318.html Исследователи безопасности из компании Cisco раскрыли (https://talosintelligence.com/vulnerability_reports/TALOS-2019-0782) сведения об уязвимости (CVE-2019-5021) в сборках (https://hub.docker.com/_/alpine) дистрибутива Alpine для системы контейнерной изоляции Docker. Суть выявленной проблемы в том, что для пользователя root был задан по умолчанию пустой пароль без блокировки прямого входа под root, что позволяло по умолчанию подключиться к контейнеру без пароля или повысить привилегии внутри контейнера через запуск утилиты su. Напомним, что Alpine используется для формирования официальных образов от проекта Docker (раньше официальные сборки основывались Ubuntu, но потом были переведены (https://www.opennet.ru/opennews/art.shtml?num=43828) на Alpine).<br><br><br>Проблема проявляется начиная со сборки Alpine Docker 3.3 и была вызвана регрессивным изменением, добавленным в 2015 году (до версии 3.3 в /etc/shadow использовалась строка "root:!::0:::::", а после из-за прекращения использования флага "-d" стала добавлятьс Docker-образы Alpine поставлялись с пустым паролем пользоват... (Аноним) https://opennet.ru/openforum/vsluhforumID3/117318.html#141 Tue, 21 May 2019 08:58:17 GMT у тебя серьездность в чём измеряется,в интерпрайзах?<br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (Аноним) https://opennet.ru/openforum/vsluhforumID3/117318.html#139 Tue, 14 May 2019 15:40:30 GMT Там пустота на месте &#171;encrypted password&#187;. Могу нотариально заверенный скриншот /etc/shadow показать.<br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (Аноним) https://opennet.ru/openforum/vsluhforumID3/117318.html#138 Tue, 14 May 2019 12:37:01 GMT Впрочем, как подсказал товарищ, udisks всегда монтирует с nosuid. Так что отбой.<br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (Аноним) https://opennet.ru/openforum/vsluhforumID3/117318.html#137 Tue, 14 May 2019 12:28:49 GMT Добро пожаловать в реальный мир :)<br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (пох) https://opennet.ru/openforum/vsluhforumID3/117318.html#136 Mon, 13 May 2019 09:48:08 GMT &gt; Хм, и что это значит?<br><br>это значит что у них все работало именно как полагается - рут без пароля доступен тем у кого физический доступ к консоли, для эмбедовки логично, или, в случае докера - кому он и так без логина доступен.<br><br>Но они не сообразили, что кто-то может из их же репо накатить обычную гнутую версию su и login (сам того причем не желая - завимимостями всего от всего притащит), старательно изуродованные еще молодым Встол-маном, которого больно п-ли универовские админы за попытки их ломануть (вот некисло он им отомстил за брата).<br><br>&gt; А причём тут Docker тогда? <br><br>при том что "охфициальные образы" как раз на alpine и собраны - как обычно у макак, без траты лишнего времени на ознакомление со спецификой дистрибутива.<br><br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (freehck) https://opennet.ru/openforum/vsluhforumID3/117318.html#135 Mon, 13 May 2019 02:08:02 GMT &gt; тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата<br><br>Ну если Вам zcat всё так успешно подсветит -- юзайте на здоровье, и да храни Вас Бог. =)<br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (freehck) https://opennet.ru/openforum/vsluhforumID3/117318.html#134 Mon, 13 May 2019 02:05:21 GMT &gt; а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?<br><br>По умолчанию логи не зипуются. Настройки же зипования выбираются (если вообще включаются) для каждого приложения в отдельности, в зависимости от скорости заполнения лога.<br><br>&gt; иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать?<br><br>Если у Вас logrotate производит ротацию ежеминутно, значит он у Вас неправильно сконфигурирован.<br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (А) https://opennet.ru/openforum/vsluhforumID3/117318.html#133 Sat, 11 May 2019 12:30:53 GMT В серьезных реализациях чего-либо xml уже by default много-много лет. json-скобочки и yaml-отступы для студентов и их подделок. <br> Docker-образы Alpine поставлялись с пустым паролем пользоват... (JL2001) https://opennet.ru/openforum/vsluhforumID3/117318.html#131 Sat, 11 May 2019 07:45:08 GMT &gt;&gt;&gt; что ты лезешь текстовым редактором туда, куда не надо им лезть.<br>&gt;&gt; то текстовые логи требуете (journald) <br>&gt; Ну блин, опять. Нет, мы не об этом говорим.<br>&gt; https://www.opennet.ru/base/sys/systemd_myth.txt.html <br>&gt; Заблужление #10.<br><br>там претензии к глючности конкретной программы (journald), претензий к бинарному формату если тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата - я не понимаю<br>+ https://www.opennet.ru/openforum/vsluhforumID3/117318.html#130<br>