Docker-образи Alpine Linux, які останні три роки поширюються через офіційний портал Docker Hub, містять порожній пароль суперкористувача. На проблему звернули увагу дослідники з команди Cisco Talos.
Уразливості (CVE-2019-5021) піддаються всі Docker-образи Alpine Linux, починаючи з версії 3.3. При використанні PAM (Pluggable Authentication Modules, Plug-in аутентифікації) або іншого механізму аутентифікації, що використовує файл /etc/shadow як джерело, система може дозволити вхід користувачу з правами суперкористувача з порожнім паролем.
Проблема вперше була виявлена в серпні 2015 року та виправлена в листопаді того ж року. Однак трохи пізніше з’явилася знову через регресивні зміни, доданого в 2015 році (до версії 3.3 в /etc/shadow використовувалася рядок “root:! :: 0 :::::”, а після через припинення використання прапора “- d”стала додаватися рядок” root ::: 0 ::::: “).
Уразливість виправлена в версіях: edge (20190228 snapshot), v3.9.2, v3.8.4, v3.7.3, v3.6.5.
Alpine Linux – дистрибутив Linux, орієнтований на безпеку, легковажність і невимогливість до ресурсів. Заснований на musl і BusyBox, за замовчуванням використовує патчі ядра PaX і grsec, всі пакети компілюються з захистом від переповнення стека.
До речі, компанія Nike представила функцію Nike Fit, яка використовує комбінацію комп’ютерного зору, наукових даних, штучного інтелекту та рекомендаційних алгоритмів для сканування ваших ніг і знаходження правильного взуття для вас.
Також Google оголосила про новий спосіб доставки оновлень безпеки для Android для основних компонентів ОС. На конференції розробників Google I/O 2019, яка відбулася в Маунтін-В’ю, штат Каліфорнія, Google оголосила про серйозні зміни в тому, як нова мобільна операційна система Android Q отримає оновлення безпеки.
Останні версії браузерів UC Browser і UC Browser Mini для Android-пристроїв, що налічують понад 600 мільйонів завантажень, уразливі до URL-спуфінга. Уразливість була виявлена дослідником безпеки Аріфом Ханом (Arif Khan), який повідомив про неї розробника UC Web минулого місяця.