面向Web的系统面临着最大的风险但内部系统也不应该被忽视

Alpine Linux Docker映像提供没有密码的root帐户攻击者可以使用root用户并且没有密码在易受攻击的系统上进行身份验证。思科的安全研究人员今天透露，在过去的三年半中，通过官方Docker Hub门户分发的Alpine Linux Docker图像一直使用root帐户的空白(NULL)密码。科Talos今天在安全警报中表示，自v3.3起，所有Alpine Linux Docker映像都受到影响。

该问题于2015年8月首次发现，于11月修补，然后在2015年12月意外重新开放三周后，今年1月才由思科伞研究员再次重新发现。该问题最初被认为只影响了Glider Labs Alpine Linux Docker图像，但后来发现它也影响了官方图像。

从Alpine Linux Docker映像配置/安装的服务器和工作站现在有被攻击者劫持的风险，攻击者可以使用root用户进行身份验证而无需密码。

面向Web的系统面临着最大的风险，但内部系统也不应该被忽视。

虽然已在Docker Hub上发布了新的Alpine Linux映像，但应修改现有系统以禁用root帐户，或者至少设置自定义密码。

将旧的Alpine Linux Docker映像集成到(重新)安装脚本/例程中的公司和用户应该修改Docker映像以禁用root帐户或更新到更新的Alpine Linux Docker映像，以确保安全。

“利用此漏洞的可能性取决于环境，因为成功利用需要暴露的服务或应用程序使用Linux PAM [可插入身份验证模块]，或使用系统影子文件作为身份验证数据库的其他机制，”思科表示今天。

对于通过CVE标识符跟踪漏洞的安全研究人员和系统管理员，此漏洞的标识符为CVE-2019-5021。

Alpine Linux是Docker Hub上最受欢迎的Linux发行版之一，下载量超过1000万。它也是在Docker Hub上搜索Linux时返回的第二个搜索结果。