내 Docker 이미지 중 하나에 "Docker 보안 문제 CVE-2017-12424"가 있고 해당 패키지 섀도우 버전 중 하나가 "1:4.4-4.1"이라는 말을 들었습니다. 그리고 업그레이드가 필요했습니다. 하지만 Debian 패키지 버전 1:4.4-4.1만 볼 수 있습니다.
$ dpkg -l | grep 1:4.4-4.1
ii login 1:4.4-4.1 amd64 system login tools
ii passwd 1:4.4-4.1 amd64 change and administer password and group data
Shadow github 저장소를 찾았습니다.https://github.com/shadow-maint/shadow, 그러나 관련 문서를 찾지 못했습니다.
섀도우 패키지 버전 확인 방법과 데비안 환경에서 업그레이드 하는 방법을 알려주시고 도와주세요.
답변1
패키지 버전 번호에서oldstable, 2019-07-06 버전 인 Debian 9("stretch")처럼 보입니다 . 이제 최신 안정 버전을 사용하도록 Docker 이미지를 업데이트하는 것을 고려해야 할 때일까요?
/usr/sbin/newusersCVE-2017-12424는 소프트웨어 패키지 의 도구와 관련된 것으로 보입니다 passwd. Docker 이미지에 특정 도구가 필요하지 않은 경우 .dockerignore해결 방법으로 파일을 사용하여 완전히 생략할 수 있습니까?
shadow여러 유틸리티를 빌드하는 소스 코드 패키지입니다. 데비안은 유틸리티를 세 개의 별도 패키지로 패키지합니다. 이 경우 취약한 유틸리티가 passwd 패키지에 있으므로 업그레이드해야 합니다. 그러나 현재 Debian 9에서 사용할 수 있는 업데이트 버전의 패키지는 없는 것 같습니다. Debian 10("buster", 새 stable버전) 이상에서만 수정 사항이 제공됩니다.
passwd나머지 이미지를 일치하도록 업그레이드하지 않고 Debian 10에서 패키지 로 업그레이드하면 라이브러리 종속성 오류가 발생할 수 있습니다. 이 시점에서 전체 기본 이미지를 Debian 9에서 Debian 10으로 업그레이드하는 것은 좋은 시간 투자가 될 수 있습니다.
passwd하지만 다른 데비안 9 패키지와 호환되는 고정 버전 패키지를 원한다면지금, 당신은해야 할 수도 있습니다Shadow 4.5-1.1의 데비안 소스 패키지를 다운로드하세요.컴파일러 및 기타 빌드 도구가 설치된 Debian 9 시스템으로 이동하고 dpkg-buildpackage소스 코드에서 실행하여 passwdDebian 9 라이브러리에 대해 컴파일된 최신 버전의 패키지를 가져옵니다. 이 사용자 지정 패키지를 Docker 이미지 빌드 프로세스에 삽입하는 것이 귀하의 작업입니다.
(빌드의 부작용으로 최신 버전의 패키지도 얻을 수 있습니다 login. uidmap그러나 이러한 패키지의 표준 데비안 9 릴리스에 취약하다고 알려진 것이 없는 한 이를 무시하도록 선택할 수 있습니다.)
newusersCVE-2017-12424는 시스템이 웹 호스팅 환경의 제어판이나 /etc/sudoers루트가 아닌 사용자가 명령을 실행하도록 허용하는 항목 과 같이 권한이 없는 사용자가 권한 있는 컨텍스트에서 명령을 실행하도록 허용하는 경우에만 적용됩니다 . 루트로 실행하십시오 newusers. 아마도 이것이 수정 사항이 아직 Debian 9에 적용되지 않은 이유일 것입니다. 보안 팀은 이것을 최우선 순위 문제로 간주하지 않습니다.