Alpine Linux 發(fā)行版向來以輕巧和安全而被大家熟知，但最近思科安全研究人員卻發(fā)現(xiàn) Alpine Linux 的 Docker 鏡像存在一個已有三年之久的安全漏洞，通過該漏洞可使用空密碼登錄 root 帳戶。

成都創(chuàng)新互聯(lián)公司專注于安達網站建設服務及定制，我們擁有豐富的企業(yè)做網站經驗。 熱誠為您提供安達營銷型網站建設，安達網站制作、安達網頁設計、安達網站官網定制、小程序制作服務，打造安達網絡公司原創(chuàng)品牌,更為您提供安達網站排名全網營銷落地服務。

該漏洞的編號為CVE-2019-5021，嚴重程度評分為 9.8 分，最早在 Alpine Linux Docker 鏡像 3.2 版本中被發(fā)現(xiàn)，并于2015年11月進行了修復，還添加了回歸測試以防止將來再發(fā)生。

但后來為了簡化回歸測試，Alpine Linux Docker 鏡像的 GitHub 倉庫合并了一個新的 commit，而正是這個 commit 導致了錯誤的回歸，并在 3.3 之后的版本中(包括 Alpine Docker Edge)都保留了這個漏洞。

v3.5(EOL)

v3.4(EOL)

v3.3(EOL)

目前該漏洞已被修復。

官方對這個漏洞的描述為：如果在 Docker 容器中安裝了 shadow 軟件包并以非 root 用戶身份運行服務，那么具有 shell 訪問權限的用戶可在容器內對賬號進行提權。

▲密碼以加密形式保存，但允許以 root 身份登錄而無需輸入任何密碼

該漏洞僅針對Alpine Linux 的 Docker 鏡像版本，且安裝了shadow或linux-pam軟件包才會受影響。

對于使用較舊的、不受支持的版本，可以將以下命令添加到 Dockerfile 來修復漏洞：成都服務器托管

1. #makesurerootloginisdisabled
2. RUNsed-i-e's/^root::/root:!:/'/etc/shadow

或者卸載shadow或linux-pam軟件包。

Alpine Linux Docker 鏡像是一個十分小巧的鏡像，大小僅 5MB，遠小于其他 Linux 發(fā)行版，在Docker Hub的下載次數(shù)已超過千萬。

網站欄目：AlpineLinuxDocker鏡像安全漏洞
標題鏈接：http://weahome.cn/article/dgop.html