infosec bod记录了Alpine Linux中的一个远程代码执行漏洞，这是一个在Docker容器中大量使用的发行版。

众测bug赏金系统Bountygraph的研究员和创造者 Max Justicz 周四表示，具有中间人（MITM）网络访问权限或操作恶意包镜像的人可以利用该漏洞通过apk（Alpine的默认包管理器）注入任意代码。

Justicz说这个漏洞特别危险，因为，首先由于它的占地面积小，所以Alpine通常用于Docker图像，其次，大多数软件包apk都没有通过安全的TLS连接提供服务，这使得它们更容易被篡改。

在最糟糕的情况下，攻击者可以在Docker镜像构建期间拦截apk的包请求，向它们注入恶意代码，并将它们传递给目标计算机，目标计算机将在Docker容器中解包并运行代码。

Justicz说，“在Alpine的默认配置中，如果我运行`apk`命令的机器的流量进行MITM中间人攻击，就可以使该机器执行任意代码。即使在我的恶意代码运行之后，我也可以允许Docker构建命令成功。”

“一旦攻击者在已经构建的图像上执行了他们的代码，他们就可以完全控制将来运行该图像的容器。”

漏洞在于apk解压缩档案和处理可疑代码的方式。Justicz发现如果恶意软件可以隐藏在包的commit_hooks目录中，它将逃避清理，然后可以正常执行。

结果将是上游恶意攻击者或网络窃听者可以直接将恶意软件反馈到Docker容器并使其在没有用户通知的情况下运行。此时，攻击者将在受害计算机上运行其代码，从而可能允许对容器或主机系统进行进一步攻击。

最新版本的Alpine已经使用固定版本的apk进行了更新，白帽汇安全研究院提醒大家使用更新的Alpine版本重建Docker镜像。

最新版下载地址：https://www.alpinelinux.org/downloads/

◆来源：https://www.theregister.co.uk/2018/09/15/alpine_linux_bug/

◆本文版权归原作者所有，如有侵权请联系我们及时删除