Basisimage für polkit-Schwachstelle aktualisieren

Ich erkenne an, dass Discourse pkexec nicht direkt aufruft, aber es ist vorhanden, setuid root, im Basis-Image. Zumindest als ich gestern nachgesehen habe, sah es so aus, als wäre es immer noch die anfällige Version. Zur Verteidigung in der Tiefe wäre es angemessen, das Basis-Image zu aktualisieren, um CVE-2021-4034 zu beheben, entweder durch Aktualisierung der Software, Entfernen von polkit, Entfernen von pkexec oder Entfernen des Setuid-Bits von pkexec.

Meine Abhilfemaßnahme war das Hinzufügen von

  - exec: chmod 755 /usr/bin/pkexec

zum Block für benutzerdefinierte Befehle in den YAML-Dateien der Containerdefinition.

Wenn ich falsch liege und CVE-2021-4034 behoben wurde, bitte ich um Entschuldigung, lassen Sie es uns wissen, und die nächste Person, die nach polkit, pkexec oder CVE-2021-4034 sucht, wird diesen Beitrag finden.

Ich bin ziemlich sicher, dass es durch DEV: update launcher for new base image and pups gem (#602) · discourse/discourse_docker@a87474c · GitHub gemildert wurde. Sie sollten das neue Image erhalten, indem Sie den Container neu erstellen, und ich denke, wir werden nächste Woche irgendwann einen erzwungenen Neubau während der Updates durchführen.

Danke! Das war noch nicht verfügbar, als ich es getestet habe, bevor ich es gepostet habe, obwohl es vielleicht zwischen meinem Test und meinem Post gelandet ist.

Ich baue jetzt noch einmal neu, um das aufzunehmen.