Docker-образы Alpine поставлялись с пустым паролем пользователя root

[[Ботя]]

Исследователи безопасности из компании Cisco раскрыли сведения об уязвимости (CVE-2019-5021) в сборках дистрибутива Alpine для системы контейнерной изоляции Docker. Суть выявленной проблемы в том, что для пользователя root был задан по умолчанию пустой пароль без блокировки прямого входа под root, что позволяло по умолчанию подключиться к контейнеру без пароля или повысить привилегии внутри контейнера через запуск утилиты su. Напомним, что Alpine используется для формирования официальных образов от проекта Docker (раньше официальные сборки основывались Ubuntu, но потом были переведены на Alpine).

Подробнее...