Kritische LĂĽcke: Docker-Images von Alpine Linux mit Root-Zugang ohne Passwort
Einige Versionen der offiziellen Docker-Images von Alpine Linux erlaubten das Einloggen als root mit leerem Passwortfeld. Jetzt ist das Problem behoben.
Mehrere Versionen der offiziellen Docker-Images der Linux-Distribution Alpine Linux weisen eine kritische Schwachstelle auf, die Angreifern ohne großen Aufwand oder Vorkenntnisse den Login als root ermöglichen kann.
Vor einigen Tagen wurde das Problem behoben: Die Entwickler haben alle unterstĂĽtzten Builds aktualisiert. Aufgrund des Schweregrads der SicherheitslĂĽcke ist ein zeitnaher Umstieg ratsam.
Root-Account mit "NULL"-Passwort
Wie aus einer Sicherheitswarnung von Cisco Talos hervorgeht, enthielt die Datei etc/shadow in den betreffenden Alpine-Linux-Containern ein leeres Feld anstelle des verschlüsselten Passworts (Variable sp_pwdp). Das ermöglichte unter bestimmten Voraussetzungen die Anmeldung als root mit leerem Passwortfeld.
Betroffen waren laut Cisco Talos alle Alpine-Linux-Docker-Images ab einschließlich Version 3.3. Der zugrundeliegende Fehler sei bereits 2015 entdeckt und gepatcht worden. Darauf folgende Commits verursachten allerdings erneut (zunächst unerkannte) Probleme, so dass der Fehler seit Dezember 2015 fortbestand und erst am gestrigen Mittwoch endgültig behoben wurde.
Die SicherheitslĂĽcke mit der CVE-Nummer CVE-2019-5021 gilt als kritisch (CVSS-v3-Score 9.8 von 10). Missbraucht werden kann sie laut Cisco Talos allerdings nur in Umgebungen, in denen /etc/shadow zur Authentifizierung genutzt wird (beispielsweise durch die Authentifizierungsbibliothek PAM).
Umsteigen oder Root deaktivieren
Cisco Talos empfiehlt den Umstieg auf eine der von den Entwicklern bereitgestellten gefixten Builds (3.9.2, 3.8.4, 3.7.3, 3.6.5 und "edge"-Snapshot 20190228). Alternativ bannt auch das permanente Deaktivieren des Root-Accounts die Gefahr.
Update 10.05.19., 12:11: Ăśbersetzungsfehler in der Meldung bezĂĽgl. der betroffenen Versionen korrigiert. Betroffen waren natĂĽrlich die Versionen ab (und nicht bis) einschlieĂźlich 3.3. Vielen Dank fĂĽr den Hinweis! (ovw)