나는 까다로운 상황을 우연히 발견했습니다.도커 알파인 메인 페이지마이너 버전/보안 수정을 위해 이미지가 매달 업데이트되고 있습니다. CVE가 포함된 패키지는 안정 버전(v3.17.*)용으로 업데이트되지 않았지만 해당 edge버전에는 있습니다.
와 같은 릴리스 버전을 지정하여 패키지를 업데이트할 가능성이 있다는 것을 알고 있습니다 apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/community. 하지만 edge안정적이지 않기 때문에 그렇게 하지 않겠습니다 .
내 실제 상황은 다음과 같습니다.
Docker Alpine 3.17.3을 사용하는 git패키지는 버전입니다.2.38.4-r1(고통을 겪고CVE-2022-23521). 고정 버전은2.39.1-r0하지만 가장자리에 있습니다.
내 CI가 불만을 표시하고 안정 릴리스에서 수정 사항이 제공될 때까지 기다려야 합니까? 가장 좋은 접근 방식은 무엇입니까?
답변1
이 CVE로 인해 원격 코드가 실행될 수 있으며 심각한 CVE로 분류됩니다. 귀하의 서비스가 노출되도록 허용하는 것보다 "불안정한" 버전을 사용하는 것이 더 낫다고 생각합니다. 설치하려는 버전에 알려진 취약점이 있는지 확인하세요.
git은 커뮤니티가 아닌 메인 브랜치에 있으므로 다음과 같이 엣지 버전을 설치할 수 있습니다.
apk add git --repository=https://dl-cdn.alpinelinux.org/alpine/edge/main
오늘부터 git(2.40.1-r0)이 설치됩니다.
다단계를 사용하여 원하는 버전으로 소스에서 git을 빌드하거나, 다른 배포판을 사용하거나, 보안 문제가 없는 이전 버전의 git 패키지를 찾는 등의 다른 옵션이 많이 있습니다. 훨씬 더 테스트되고 안정적입니다.