Alpine Linux Docker映像档，爆出根账号无密码登入漏洞

Alpine Linux以轻巧著称大受欢迎，但思科安全人员发现Alpine Linux Docker映像档一个根账号用户密码值为NULL的漏洞，允许攻击者绕过密码检测存取系统。

思科旗下Talos Lab研究人员发现，编号CVE-2019-5021的漏洞会使Alpine Linux Docker部署的系统，在根账号密码字段接受以空白（即NULL值）登入，可能遭骇客劫持，其中又以面向Web的系统风险最高。

这项漏洞曾在2015年发现并修补过，但在当年底一次回归测试中又阴错阳差造成，导致3.3版以后包括Alpine Docker Edge的官方Alpine Linux Docker映像档，都保留这个漏洞。

思科研究人员表示，在该公司通报之前，就有人在GitHub上反映这项问题，但并未被Alpine Linux列为安全漏洞，也一直未解决。

成功开采本漏洞需要服务或App使用Linux PAM（pluggable authentication module）或是使用系统Shadow档作为验证数据库的机制。本漏洞在CVSS 3.0风险评分中被列为9.8分，满分为10分。为免系统被不当存取，上述版本的用户应尽速关闭根账号。

Alpine Linux的Docker映像档仅5MB，远小于其他Linux发行版，在Docker Hub下载次数超过千万。