Mettre à jour l'image de base pour la vulnérabilité polkit

Je reconnais que Discourse n’appelle pas directement pkexec, mais il est présent, avec le bit setuid root, dans l’image de base. Du moins, quand j’ai regardé hier, il semblait que c’était toujours la version vulnérable. Pour la défense en profondeur, il serait approprié de mettre à jour l’image de base pour traiter la CVE-2021-4034 soit en mettant à jour le logiciel, en supprimant polkit, en supprimant pkexec, ou en supprimant le bit setuid de pkexec.

Mon atténuation a été d’ajouter

  - exec: chmod 755 /usr/bin/pkexec

au bloc de commandes personnalisées dans les fichiers YAML de définition du conteneur.

Si je me trompe et que la CVE-2021-4034 a été traitée, veuillez accepter mes excuses, faites-le nous savoir, et la prochaine personne qui recherchera polkit, pkexec, ou CVE-2021-4034 trouvera ce message.

Je suis à peu près sûr que cela a été atténué par DEV: update launcher for new base image and pups gem (#602) · discourse/discourse_docker@a87474c · GitHub. Vous devriez obtenir la nouvelle image en reconstruisant le conteneur et je pense que nous forcerons une reconstruction lors des mises à jour la semaine prochaine.

Merci ! Ce n’était pas encore disponible lorsque j’ai testé avant de publier, bien que cela ait peut-être été ajouté entre mon test et ma publication.

Je reconstruis à nouveau pour intégrer cela.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.