CVE-2019-5021：Alpine Linux DockerイメージにハードコードされたNULL rootパスワードが発見

2015年12月のバージョン3.3以降のAlpine Linux Docker Imagesに、ハードコードされたNULL rootユーザパスワードの脆弱性が発見されました。ユーザーには、rootユーザー、またはシステムシャドウファイルを認証データベースとして利用するサービスを無効にすることをお勧めします。

背景

2015年11月に、Alpine Linux Docker Imagesのバグが修正され、/etc/shadowファイルでrootユーザーのNULLパスワードが受け入れられないようになりました。しかし、その8日後、この修正を誤って削除したAlpine Linuxプロジェクトに更新がプッシュされ、それ以降、Linux PAMのようなサービスがシステムで実行されている場合、認証データベースとして/etc/shadowが使用されているため、3.3から3.9までのすべてのバージョンのAlpine LinuxでrootユーザーのNULLパスワードが受け入れられるようになりました。

分析

2019年5月8日、Cisco Talosはこの脆弱性の発見についてAlpine Linuxチームに報告した後、情報を公開しました。rootアカウントはデフォルトで有効になっており、アカウントが明示的にロックされていない限り、影響を受けるバージョンではrootアカウントが空白のパスワードを持つものとして扱います。

ソリューション

サポートされている最新バージョンのAlpine Docker（3.6.5、3.7.3、3.8.4、3.9.3、およびedge）にアップグレードすると、この脆弱性は修正されます。

現時点でアップグレードできない場合は、影響を受けるすべてのバージョンのAlpine Linux Docker Imagesでrootアカウントを完全に無効にすることをお勧めします。ただし、Alpine Linuxアセットが/etc/shadowファイルをパスワードデータベースとして扱うサービスを使用していない場合、rootアカウントが有効になっていてもこの脆弱性は悪用されません。

影響を受けているシステムの特定

この脆弱性の年齢と性質により、Tenableを使用する場合、パスワードのない「root」アカウントのプラグインは、ホストが悪用可能な場合、プラグインを更新または変更することなく、警告します。いつものように、空白またはデフォルトのパスワードを含む設定のスキャンには、デフォルトのUnixアカウントファミリーを含めることをお勧めします。

詳細情報

• Cisco TALOS CVE-2019-5021 公開情報
• Alpine Docker Githubページ

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。