我已经使用 Debian 11.7 构建了 Docker 映像,并运行了 Trivy Docker 扫描工具。该报告显示了一个漏洞,CVE-2022-3715,对于 bash 包。
- 按照这个页,该问题已在 bash 版本 5.2-1 中得到修复。但是当我尝试安装 5.2-1 版本的 bash 时,收到错误消息“未找到 bash 的版本号”。
- 我看到它在将来发布的新版本 Debian (bookworm) 中得到了修复。但是我们如何才能在不等待新版本 Debian 的情况下解决这个问题呢?
答案1
该问题已被认定为次要问题,并且不会在 Debian 11 或更低版本中得到修复。如果您想在容器映像中修复它,您有以下几种选择:
您的镜像基于 Debian 12 — 该版本将在不到一个月的时间内发布,如果您现在开始使用它,镜像的内容不太可能发生重大变化。
手动拉入 Debian 12 软件包。这可能比以前的选项更安全,但您最终会得到不受支持的设置,这可能会导致其他问题。
从源代码构建 bash。
我推荐第一个。 (真的,如果我处于您的情况,我会检查图像中 bash 的可能用途,并且可能会忽略 CVE。但我知道这可能不适合您。)