CoreOS Linux Alpha中的一個重大漏洞已修復，安全團隊稱此問題只影響該Linux發行版的104x.0.0版。

在博客文章《CoreOS Linux Alpha中遠程SSH存在重大安全問題，部分用戶受影響》中，CoreOS安全團隊在描述這個問題時說：

CoreOS Linux Alpha 1045.0.0和1047.0.0中PAM子系統的一項錯誤配置將使得未經授權用戶能夠在無需密碼，或不具備任何其他必要身份驗證令牌的情況下訪問帳戶。該漏洞影響了部分運行CoreOS Linux Alpha的計算機。

根據該團隊介紹，這個問題最初上報于5月15日20:21，僅六小時后就發布了可用的修復程序。運行CoreOS Linux Beta或穩定版系統的計算機不受影響。

在CoreOS于5月19日發布的事件簡報中，資深安全工程師Matthew Garrett稱接獲通知說有人已經“發現有系統被攻陷”。據報攻擊者以Operator用戶的身份登錄，并“使用被攻陷的系統發送垃圾郵件”。

“最開始我們很納悶，因為Operator用戶是被禁用的，但我們在內部也可以復現這個問題，”Garett說：最后發現有人可以通過任何密碼登錄Operator和其他核心帳戶，“哪怕帳戶并未設置任何密碼。”

Garrett努力將問題原因縮小至coreos-overlay中提交的一項內容，其中為了實現用戶身份驗證，需要將Red Hat的System Security Services工具與CoreOS進行集成。最終發現這個問題是由于基于Gentoo的系統和基于Red Hat的系統之間的一個差異導致的，前者默認會使用一個可選的pam_permit作為PAM配置的結尾，而后者默認會使用一個必備的pam_deny。在這種情況下，配置將最終落實為pam_permit，進而導致用戶可以登錄。

在解釋為什么會出現這種問題時，Garrett稱盡管Operator用戶被禁用，但該用戶“依然存在于很多UNIX類系統中，并會出現在很多自動化SSH攻擊腳本中，因此只要存在Operator用戶，就可能在不具備有效密碼的情況下訪問，這也使得此類系統面對這樣的自動化攻擊更顯脆弱。”

在Hacker News對于這個簡報的討論中，Kamil Choudhury評論問到：“認為這種問題是小題大做，我的想法錯了嗎？”

Garrett回復解釋說，“沒有極為可信的理由”能讓我們相信Alhpa測試版軟件比其他版本更糟糕。

我認為，分布式計算的優勢之一就是可以在部分部署中運行Alpha測試版軟件，而無須擔心Bug會拖累整個部署。這樣用戶就可以更容易地確信新發布的穩定版軟件不會造成更大麻煩，同時這也意味著用戶可以更快速用上穩定版，并避免繼續運行老版本軟件可能造成的安全隱患。

為此用戶需要確信Alpha測試版并不是“包含大量安全問題”的版本，Garrett說：“盡管我們沒做到，但這一點很重要。”

查看英文原文：Major CoreOS Linux Alpha Vulnerability Patched