обычное сканирование aspnet: образ 3.1-alpine сообщает о средней уязвимости в отношении containerd

Question

обычное сканирование aspnet: образ 3.1-alpine сообщает о средней уязвимости в отношении containerd

Мы создаем образ контейнера на основе mcr.microsoft.com/dotnet/core/aspnet:3.1-alpine

Файл докера включает в себя обычную проверку безопасности. Вот выдержка из файла докера:

      # Build runtime image (Alpine)
FROM mcr.microsoft.com/dotnet/core/aspnet:3.1-alpine

# Upgrade the Alpine Image
RUN apk update
RUN apk upgrade
RUN apk search -a|grep containerd|sort
RUN apk add --upgrade containerd
RUN apk add icu-libs
# https://www.abhith.net/blog/docker-sql-error-on-aspnet-core-alpine/
ENV DOTNET_SYSTEM_GLOBALIZATION_INVARIANT=false

# Check Security with trivy
RUN apk add curl \
    && curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/master/contrib/install.sh | sh -s -- -b /usr/local/bin \
    && trivy filesystem --exit-code 1 --skip-dirs /user/local/bin/trivy --severity MEDIUM,HIGH,CRITICAL --no-progress / \
      && rm -rf /root/.cache/ \
      && rm -rf /usr/local/bin/trivy \
    && apk del curl

Dockerfile включает «apk-обновление» для получения последних версий пакетов внутри alpine. Мы выводим версию пакета containerd, и он выводит containerd-1.4.8-r0, который предположительно свободен от уязвимостей. Однако trivy по-прежнему выводит следующее:

      usr/local/bin/trivy (gobinary)
==============================
Total: 1 (MEDIUM: 1, HIGH: 0, CRITICAL: 0)

+----------------------------------+------------------+----------+-------------------+----------------+---------------------------------------+
|             LIBRARY              | VULNERABILITY ID | SEVERITY | INSTALLED VERSION | FIXED VERSION  |                 TITLE                 |
+----------------------------------+------------------+----------+-------------------+----------------+---------------------------------------+
| github.com/containerd/containerd | CVE-2021-32760   | MEDIUM   | v1.4.4            | v1.4.8, v1.5.4 | containerd: pulling and               |
|                                  |                  |          |                   |                | extracting crafted container          |
|                                  |                  |          |                   |                | image may result in Unix file...      |
|                                  |                  |          |                   |                | -->avd.aquasec.com/nvd/cve-2021-32760 |
+----------------------------------+------------------+----------+-------------------+----------------+---------------------------------------+

Это означает, что trivy обнаружил версию 1.4.4. Я не уверен, что попробовать дальше. Спасибо!

0

docker asp.net-core security alpine-linux trivy

Источник

user2270098 20 авг '21 в 12:33

0 ответов

Другие вопросы по тегам docker asp.net-core security alpine-linux trivy