Есть ли обновление для wget в образах IBM Java 8 Docker ibmjava: 8-sfj и ibmjava: 8-jre для устранения уязвимостей? - PullRequest
Новая
       41

Есть ли обновление для wget в образах IBM Java 8 Docker ibmjava: 8-sfj и ibmjava: 8-jre для устранения уязвимостей?

0 голосов
/ 26 апреля 2019

Мы используем образы IBM Java 8 Docker из https://hub.docker.com/_/ibmjava/, в частности ibmjava: 8-sfj и ibmjava: 8-jre

Недавно я видел, что wget на этих изображениях уязвим для CVE-2018-20483 и CVE-2019-5953. Исправление - обновить до wget 1.17.1-1ubuntu1.5.

Планируется ли обновление изображений? Начиная с страницы описания изображения слой, который устанавливает wget, последний раз обновлялся 12 марта 2019 года.

Для воспроизведения используйте этот Dockerfile:

FROM ibmjava:8-sfj

Если у вас есть вход в систему IBM Cloud и Registry Container, а также интерфейс командной строки ibmcloud, установите плагин Registry Container, затем создайте образ с помощью командной строки (которая выдвигается в реестр контейнера). Здесь user_seager мое пространство имен:

ibmcloud cr build --tag "us.icr.io/user_seager/test:latest" .

Sending build context to Docker daemon  2.048kB
Step 1/1 : FROM ibmjava:8-sfj
8-sfj: Pulling from library/ibmjava
34667c7e4631: Pull complete 
d18d76a881a4: Pull complete 
119c7358fbfc: Pull complete 
2aaf13f3eff0: Pull complete 
f573d025b2c1: Pull complete 
5f2909b1f9b3: Pull complete 
Digest: sha256:cbfd3dd350d3ff938fd43d09a16ab7425ec181e0cbec498ac4fdbc62f9a245e5
Status: Downloaded newer image for ibmjava:8-sfj
 ---> 6dfd307083cb
Successfully built 6dfd307083cb
Successfully tagged us.icr.io/user_seager/test:latest
The push refers to repository [us.icr.io/user_seager/test]
895c10b6ad7a: Pushed 
d0e720f8472b: Pushed 
297fd071ca2f: Pushed 
2f0d1e8214b2: Pushed 
7dd604ffa87f: Pushed 
aa54c2bc1229: Pushed 
latest: digest: sha256:a9090526b09565684e2ce13f64d833ea28ed267acdc4667a28f2717b1274f465 size: 1573

После нажатия получите отчет консультанта по уязвимостям:

ibmcloud cr va us.icr.io/user_seager/test:latest

Checking security issues for 'us.icr.io/user_seager/test:latest'...

Image 'us.icr.io/user_seager/test:latest' was last scanned on Fri Apr 26 09:59:13 UTC 2019
The scan results show that 2 ISSUES were found for the image.

Vulnerable Packages Found
=========================

Vulnerability ID   Policy Status   Affected Packages   How to Resolve   
CVE-2018-20483     Active          wget                Upgrade wget to >= 1.17.1-1ubuntu1.5   
CVE-2019-5953      Active          wget                Upgrade wget to >= 1.17.1-1ubuntu1.5   

To see the details about the fixes for these packages, run the command again with the '--extended' flag.

OK
...