Ich bin auf eine knifflige Situation gestoßen: Ich habe auf derDocker Alpine Hauptseitedass das Image jeden Monat für kleinere Versionen/Sicherheitsfixes aktualisiert wird. Pakete mit CVE werden nicht für die stabile Version (v3.17.*) aktualisiert, sind aber auf der edgeVersion.
Ich weiß, dass es die Möglichkeit gibt, ein Paket zu aktualisieren, indem man die Release-Version angibt, etwa apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/community. Ich werde es jedoch nicht tun, da edgees nicht stabil ist.
Hier ist meine tatsächliche Lebenssituation:
Bei Verwendung von Docker Alpine 3.17.3 gitist das Paket auf Version2.38.4-r1(leiden anCVE-2022-23521). Die korrigierte Version ist2.39.1-r0aber ist nervös.
Soll ich einfach damit leben, dass sich mein CI beschwert, und warten, bis die Korrektur(en) in einer stabilen Version verfügbar sind? Was ist die beste Vorgehensweise?
Antwort1
Diese CVE kann zu Remotecodeausführung führen und wird als kritisch eingestuft. Ich denke, es ist besser, eine „instabile“ Version zu verwenden, als Ihren Dienst dieser Schwachstelle auszusetzen. Prüfen Sie einfach, ob die Version, die Sie installieren möchten, bekannte Schwachstellen aufweist.
Da sich Git im Hauptzweig (nicht in der Community) befindet, können Sie die Edge-Version wie folgt installieren:
apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/main
Ab heute wird git (2.40.1-r0) installiert.
Es gibt viele andere Optionen, wie z. B. das Erstellen von Git aus dem Quellcode mit Ihrer bevorzugten Version mit mehreren Stufen, die Verwendung einer anderen Distribution oder das Suchen einer älteren Version eines Git-Pakets, die keine Sicherheitsprobleme enthält - diese ist viel besser getestet/stabiler