更新 polkit 漏洞的基础镜像

mcdanlj · 2022 年1 月 28 日 12:48

我认识到 Discourse 不会直接调用 pkexec，但它存在于基础镜像中，并且具有 setuid root 权限。至少在我昨天查看时，它看起来仍然是易受攻击的版本。为了实现纵深防御，应该通过更新软件、移除 polkit、移除 pkexec 或移除 pkexec 的 setuid 位来更新基础镜像以解决 CVE-2021-4034。

我的缓解措施是在容器定义 YAML 文件中的自定义命令块中添加

  - exec: chmod 755 /usr/bin/pkexec

如果我错了，CVE-2021-4034 已经被解决，请接受我的道歉，让我们知道，下一个搜索 polkit、pkexec 或 CVE-2021-4034 的人将会找到这个帖子。

gerhard · 2022 年1 月 29 日 22:38

我相当确定它已被 DEV: update launcher for new base image and pups gem (#602) · discourse/discourse_docker@a87474c · GitHub 缓解。您应该通过重建容器来获取新镜像，我认为我们将在下周某个时候强制在更新期间进行重建。

mcdanlj · 2022 年1 月 29 日 23:02

谢谢！在我测试并发布之前，这个功能还不可用，不过也许在我测试和发布之间它已经可用了。

现在重新构建以获取它。

话题		回复	浏览量
Docker installation vulnerable to CVE-2015-8126? Support	4	1033	2015 年11 月 18 日
Vulnerability patching of npm/gem dependencies in discourse Self-hosting docker	2	108	2025 年10 月 13 日
Does this Linux vulnerability put Discourse at risk? Support	3	446	2022 年2 月 1 日
Discourse base image updated Self-hosting	1	1122	2015 年3 月 10 日
Vulnerabilities in the official Docker image Development	1	874	2023 年5 月 19 日

更新 polkit 漏洞的基础镜像

相关话题