Actualizar imagen base para vulnerabilidad de polkit

Reconozco que Discourse no llama directamente a pkexec, pero está presente, con bit setuid root, en la imagen base. Al menos cuando miré ayer, parecía que todavía era la versión vulnerable. Para defensa en profundidad, sería apropiado actualizar la imagen base para abordar CVE-2021-4034 ya sea actualizando el software, eliminando polkit, eliminando pkexec o eliminando el bit setuid de pkexec.

Mi mitigación ha sido añadir

  - exec: chmod 755 /usr/bin/pkexec

al bloque de comandos personalizados en los archivos YAML de definición del contenedor.

Si me equivoco y CVE-2021-4034 ha sido abordado, por favor acepte mis disculpas, háganoslo saber y la próxima persona que busque polkit, pkexec o CVE-2021-4034 encontrará esta publicación.

Estoy bastante seguro de que fue mitigado por DEV: update launcher for new base image and pups gem (#602) · discourse/discourse_docker@a87474c · GitHub. Deberías obtener la nueva imagen reconstruyendo el contenedor y creo que forzaremos una reconstrucción durante las actualizaciones la próxima semana.

¡Gracias! Aún no estaba disponible cuando probé antes de publicar, aunque quizás llegó entre que probé y que publiqué.

Volviendo a compilar ahora para recoger eso.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.