Atualizar imagem base para vulnerabilidade do polkit

Reconheço que o Discourse não chama diretamente o pkexec, mas ele está presente, com o bit setuid configurado para root, na imagem base. Pelo menos quando verifiquei ontem, parecia que ainda era a versão vulnerável. Para defesa em profundidade, seria apropriado atualizar a imagem base para corrigir a CVE-2021-4034, seja atualizando o software, removendo o polkit, removendo o pkexec ou removendo o bit setuid do pkexec.

Minha mitigação tem sido adicionar

  - exec: chmod 755 /usr/bin/pkexec

ao bloco de comandos personalizados nos arquivos YAML de definição do contêiner.

Se eu estiver errado e a CVE-2021-4034 já tiver sido corrigida, por favor, aceite minhas desculpas, nos informe e a próxima pessoa que pesquisar por polkit, pkexec ou CVE-2021-4034 encontrará esta postagem.

Tenho quase certeza de que foi mitigado por DEV: update launcher for new base image and pups gem (#602) · discourse/discourse_docker@a87474c · GitHub. Você deve obter a nova imagem reconstruindo o contêiner e acho que forçaremos uma reconstrução durante as atualizações em algum momento na próxima semana.

Obrigado! Isso ainda não estava disponível quando testei antes de postar, embora talvez tenha chegado entre o meu teste e a minha postagem.

Recompilando novamente agora para pegar isso.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.