Alpine Docker 镜像漏洞（CVE-2019-5021）对平台影响

漏洞官方链接：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5021

CVE-2019-5021

Versions of the Official Alpine Linux Docker images (since v3.3) contain a NULL password for the `root` user. This vulnerability appears to be the result of a regression introduced in December of 2015. Due to the nature of this issue, systems deployed using affected versions of the Alpine Linux container which utilize Linux PAM, or some other mechanism which uses the system shadow file as an authentication database, may accept a NULL password for the `root` user.

官方对这个漏洞的描述为：如果在 Docker 容器中安装了 shadow 软件包并以非 root 用户身份运行服务，那么具有 shell 访问权限的用户可在容器内对账号进行提权。 

根据漏洞报告，自 Alpine Linux 3.3 版本开始的所有 Docker 镜像中，root 用户包含一个空密码，这可能会导致攻击者获得 root 权限，进而造成攻击。

报告中称：受影响范围是 Alpine Linux Docker 镜像 3.3、3.4、3.5、3.6、3.7、3.8、3.9、edge 等全部版本。

密码以加密形式保存，但允许以 root 身份登录而无需输入任何密码

该漏洞仅针对 Alpine Linux 的 Docker 镜像版本，且安装了shadow或linux-pam软件包才会受影响。

对于使用较旧的、不受支持的版本，可以将以下命令添加到 Dockerfile 来修复漏洞：

# make sure root login is disabled

RUN sed -i -e's/^root::/root:!:/'/etc/shadow

或者卸载shadow或linux-pam软件包。

我们分别来看它的 /etc/passwd 和 /etc/shadow 文件，很明显，此刻 root 用户是一个空密码；并不符合预期。这样也就导致了被攻击的可能性。

操作系统典型常规的配置如下：

[root@ips106 ~]# grep root /etc/passwd

root:x:0:0:root:/root:/bin/bash

operator:x:11:0:operator:/root:/sbin/nologin

[root@ips106 ~]# grep root /etc/shadow

root:$6$14YMCeNI$pQslPGn0/V.PPA2ycMMZrvCbp64Mgnu6gf.o3oNvDL3A0Uw6L8nk7tfCzqYj19os635ey/s35PhH42FW//QdY1:17504:0:99999:7:::

[root@ips106 ~]#

1、pause镜像，基于空镜像创建，不涉及alpine，漏洞无影响

FROM scratch

ARG ARCH

ADD bin/pause-${ARCH} /pause

ENTRYPOINT ["/pause"]

2、Docker-health镜像基于alpine:edge，alpine漏洞影响容器安全

# Version 1.0

FROM alpine:edge

RUN apk add --update --no-cache --virtual curl && \ 

rm -r /var/cache/apk && \

rm -r /usr/share/man && \

touch /htmp

CMD tail -f /htmp

3、registry镜像基于alpine:3.4,存在该安全漏洞

[root@ips106 ~]# docker ps

CONTAINER ID        IMAGE                      COMMAND                  CREATED            STATUS              PORTS                    NAMES

b88c5798ab7b        registry:2.5.1              "/entrypoint.sh /etc…"  2 months ago        Up 2 months        0.0.0.0:35007->5000/tcp  ips-registry7

[root@ips106 ~]# docker exec -it b88c5798ab7b /bin/sh

/ # grep root /etc/passwd

root:x:0:0:root:/root:/bin/ash

operator:x:11:0:operator:/root:/bin/sh

/ # grep root /etc/shadow

root:::0:::::

/ #

4、产品nginx基础镜像为官方nginx镜像，该镜像中root账户已被禁用，不存在该漏洞

[root@ips28 test]# docker exec -it bacf767d2cc2 /bin/bash

root@bacf767d2cc2:/# grep root /etc/passwd

root:x:0:0:root:/root:/bin/bash

root@bacf767d2cc2:/# grep root /etc/shadow

root:*:18022:0:99999:7:::

5、heapster未采用官网镜像，产品使用的heapster镜像基于alpine:3.7,存在该安全隐患

 虽然镜像中/etc/shadow文件存在root用户密码为空，但是镜像使用普通用户，并且禁止su，同时未提供sudo,无法通过修改busybox权限打开su,无法通过root密码为空的漏洞提权访问。

[root@ips28 etc]# cat shadow

root:::0:::::

[root@ips28 etc]# docker exec -it 8fda40024e8a /bin/sh

~ $ id

uid=65534(nobody) gid=65534(nobody)

~ $ su -

su: must be suid to work properly

~ $ cat /etc/alpine-release

3.7.0

~ $ grep root /etc/passwd

root:x:0:0:root:/root:/bin/ash

operator:x:11:0:operator:/root:/bin/sh

~ $ grep root /etc/shadow

grep: /etc/shadow: Permission denied

~ $  find -name busybox

./bin/busybox

find: ./proc/tty/driver: Permission denied

find: ./root: Permission denied

~ $ sudo chmod 4755 ./bin/busybox

/bin/sh: sudo: not found

~ $ chmod 4755 ./bin/busybox

chmod: ./bin/busybox: Operation not permitted

~ $

官网heapster镜像dockerfile

综合以上，平台目前提供的镜像包含nginx /heapster/registry/docker-health/pause,其中只有docker-health（基于alpine:edge）和registry（基于alpine:3.4）存在该安全隐患，heapster虽然也是基于3.7版本的镜像但是已经通过禁用su，未提供sudo禁止了该漏洞可能存在的提权行为。

针对平台而言只是存在风险，实际对我们平台不对外开放的非业务容器，影响很小；需要注意的是业务镜像制作的时候尽量避免使用alpine的这些版本。升级使用最新版本的alpine即可。

参考：

http://www.codesafe.cn/index.php?r=news/detail&id=4849

https://www.jianshu.com/p/a90eff5641d5