Me topé con una situación complicada: leí en elPágina principal de Docker Alpineque la imagen se actualiza cada mes para versiones menores/correcciones de seguridad. Los paquetes con CVE no se actualizan para la versión estable (v3.17.*) pero sí en la edgeversión.
Sé que existe la posibilidad de actualizar un paquete especificando la versión de lanzamiento como apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/community. Pero no lo haré porque edgeno es estable.
Aquí está mi situación de la vida real:
Usando Docker Alpine 3.17.3, el gitpaquete está en la versión2.38.4-r1(que sufren deCVE-2022-23521). La versión fija es2.39.1-r0pero está al límite.
¿Debo simplemente vivir con el hecho de que mi CI se está quejando y esperar a que las soluciones estén disponibles en una versión estable? ¿Cuál es el mejor enfoque?
Respuesta1
Este CVE puede dar lugar a la ejecución remota de código y se clasifica como crítico. Creo que es mejor utilizar la versión "inestable" que permitir que su servicio quede expuesto a ella. Simplemente verifique si hay vulnerabilidades conocidas en la versión que desea instalar.
Debido a que git está en la rama principal (no en la comunidad), puedes instalar la versión perimetral de esta manera:
apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/main
A partir de hoy instalará git (2.40.1-r0)
Hay muchas otras opciones, como compilar git desde el código fuente con su versión preferida con varias etapas, usar una distribución diferente o encontrar una versión anterior del paquete git que no contenga ningún problema de seguridad; será mucho más probado/estable.