Sicherheitslücke im Docker?

Laut heise.de befindet sich in einem Großteil des Docker eine Sicherheitslücke:
https://www.heise.de/security/meldung/Docker-Hub-Fehlkonfiguration-kann-Container-angreifbar-machen-4430162.html

Der Root-Account hat kein Passwort. Scheint auch in der Nextcloud-App der Fall zu sein:

root@nextc-29272196:/# cat /etc/shadow
root:*:17962:0:99999:7:::
daemon:*:17962:0:99999:7:::
...

Hallo @Mornsgrans,

ich fürchte du interpretierst deine /etc/shadow falsch.

Auszug aus https://www.tldp.org/LDP/lame/LAME/linux-admin-made-easy/shadow-file-formats.html

Password, 13 character encrypted. A blank entry (eg. ::) indicates a password is not required to log in (usually a bad idea), and a ``*'' entry (eg. :*:) indicates the account has been disabled.

Darüber hinaus schreibt der von dir verlinkte Artikel:

Es bestehe nur in Umgebungen eine Gefahr, in denen /etc/shadow zur Authentifizierung genutzt werde (beispielsweise durch die Authentifizierungsbibliothek PAM). Überdies müsste ein Angreifer überhaupt erstmal geeigneten Zugriff auf den laufenden Container haben, um das leere Kennwort ausnutzen zu können.

Das ist bei der Nextcloud App imho nicht der Fall.

Danke für die Erläuterung.

Mastodon