Aggiorna l'immagine di base per la vulnerabilità di polkit

Riconosco che Discourse non chiama direttamente pkexec ma è presente, con il bit setuid impostato per root, nell’immagine di base. Almeno quando ho controllato ieri sembrava fosse ancora la versione vulnerabile. Per una difesa in profondità, sarebbe opportuno aggiornare l’immagine di base per affrontare la CVE-2021-4034 aggiornando il software, rimuovendo polkit, rimuovendo pkexec o rimuovendo il bit setuid da pkexec.

La mia mitigazione è stata quella di aggiungere

  - exec: chmod 755 /usr/bin/pkexec

al blocco dei comandi personalizzati nei file YAML di definizione del container.

Se mi sbaglio e la CVE-2021-4034 è stata risolta, accetta le mie scuse, faccelo sapere e la prossima persona che cercherà polkit, pkexec o CVE-2021-4034 troverà questo post.

Sono abbastanza sicuro che sia stato mitigato da DEV: update launcher for new base image and pups gem (#602) · discourse/discourse_docker@a87474c · GitHub. Dovresti ottenere la nuova immagine ricostruendo il container e penso che forzeremo una ricostruzione durante gli aggiornamenti la prossima settimana.

Grazie! Non era ancora disponibile quando ho testato prima di pubblicare, anche se forse è arrivato tra il mio test e la mia pubblicazione.

Sto ricostruendo di nuovo per recuperarlo.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.