關於 Alpine Docker 鏡像漏洞 CVE-2019-5021

時間 2019-12-08

標籤關於 alpine docker 鏡像漏洞 cve 欄目 Docker 简体版

原文原文鏈接

關於 CVE-2019-5021 帶來的一點思考。linux

本週比較嚇人的是 CVE-2019-5021, 根據漏洞報告，自 Alpine Linux 3.3 版本開始的全部 Docker 鏡像中，root 用戶包含一個空密碼，這可能會致使攻擊者得到 root 權限，今兒形成攻擊。docker

報告中稱：受影響範圍是 Alpine Linux Docker 鏡像 3.三、3.四、3.五、3.六、3.七、3.八、3.九、edge 等所有版本。安全

要知道因爲 Alpine Linux 鏡像體積較小，因此在構建 Docker 鏡像時，不少人都會推薦使用 Alpine Linux 做爲基礎鏡像；包括不少 Docker 官方鏡像也基本上都提供了基於 Alpine Linux 的鏡像，甚至像 Docker 鏡像等，是隻提供了使用 Alpine Linux 做爲基礎鏡像的版本。bash

報告一出，瞬間這個消息就被傳播成了「Alpine Linux Docker 鏡像不安全」/「不要再使用 Alpine Linux 了」。固然 Google 的開發者也順便推了一次自家的 distroless 鏡像。less

咱們來看一下 CVE-2019-5021 究竟是什麼以及如何復現吧。工具

CVE-2019-5021

(MoeLove) ➜  ~ docker run --rm -it alpine:3.9
/ # grep root /etc/passwd
root:x:0:0:root:/root:/bin/ash
operator:x:11:0:operator:/root:/bin/sh
/ # grep root /etc/shadow
root:::0:::::
/ #
複製代碼

以上是一個 alpine:3.9 的鏡像，咱們分別來看它的 /etc/passwd 和 /etc/shadow 文件，很明顯，此刻 root 用戶是一個空密碼；並不符合預期。這樣也就致使了被攻擊的可能性。咱們來看下如何復現攻擊以及修復。ui

復現

先來看下如何復現, 編寫以下的 Dockerfilespa

FROM alpine:3.9

RUN apk add --no-cache shadow 
RUN adduser -S moelove 
USER moelove
複製代碼

用 docker build -t local/alpine:cve . 構建鏡像，接下來複現：code

(MoeLove) ➜  cve docker run --rm -it  local/alpine:cve 
/ $ id
uid=100(moelove) gid=65533(nogroup) groups=65533(nogroup)
/ $ whoami 
moelove
/ $ su -
4a5cc376be74:~# 
4a5cc376be74:~# whoami 
root
4a5cc376be74:~# grep root /etc/passwd /etc/shadow
/etc/passwd:root:x:0:0:root:/root:/bin/ash
/etc/passwd:operator:x:11:0:operator:/root:/bin/sh
/etc/shadow:root:::0:::::
複製代碼

能夠看到成功使用普通用戶獲取的 root 權限。cdn

修復

當前官方鏡像已經修復，可直接更新對應鏡像

或是

在 Dockerfile 中增長下面這行：

RUN sed -ie 's/^root::/root:!:/' "$rootfs/etc/shadow"
複製代碼

對應於剛纔容器內的操做即是：

4a5cc376be74:~# sed -ie 's/^root::/root:!:/' /etc/shadow
4a5cc376be74:~# grep root /etc/passwd /etc/shadow
/etc/passwd:root:x:0:0:root:/root:/bin/ash
/etc/passwd:operator:x:11:0:operator:/root:/bin/sh
/etc/shadow:root:!::0:::::
4a5cc376be74:~# / $ su -
Password: 
su: Authentication failure
/ $ whoami
moelove
複製代碼