请选择 进入手机版 | 继续访问电脑版

 找回密码
 立即注册
搜索
查看: 393|回复: 0

微力同步的二进制文件有漏洞组件,请更新版本

[复制链接]

3

主题

7

回帖

63

积分

个人专业版V1

积分
63
发表于 2024-2-28 14:34:48 | 显示全部楼层 |阅读模式
最近在学容器,顺手用trivy这个容器漏洞检查工具查看了一下,发现jonnyan404/verysync:2.17.0版本的容器有以下问题
1.基础系统Alpine 3.19的问题是旧版本(3.1.4-r2)的libcrypto3和libssl3,需要升级到3.1.4-r5及以上版本

alpine

alpine

2.gosu二进制文件的问题是使用了旧版本(v1.1.0)的runc组件,需要升级到1.1.12及以上版本

gosu

gosu

3.verysync二进制文件包含的问题组件及解决办法

verysync

verysync

我自己从jonnyan404的github下载了Dockerfile并进行了修改,使用了busybox-1.36.1-glibc的基础镜像以及1.17版本的gosu文件,解决了问题1和问题2,贴在下方供参考。因为Verysync是闭源的,所以我无法进行更新及修复。请官方查看一下这个问题,并发布新版。
我用的Dockerfile:
```
FROM docker.io/library/busybox:1.36.1-glibc
ENV TZ=CST-8 \
    PORT=8886 \
    VUID=0
WORKDIR /app/
COPY verysync-linux-amd64-*/verysync /tmp/
COPY docker-entrypoint.sh /app/
COPY gosu /usr/local/bin/

RUN chmod 0755 /tmp/verysync \
    && mv /tmp/verysync /usr/bin/ \
    && mkdir -p /data/ \
    && chmod 0775 /data/ \
    && addgroup -S nonverysync && adduser -S nonverysync -G nonverysync \
    && chmod 0755 /app/docker-entrypoint.sh

RUN chmod 0755 /usr/local/bin/gosu \
    && gosu nobody true

HEALTHCHECK --interval=1m --timeout=10s \
  CMD nc -z 127.0.0.1 ${PORT}  || exit 1

ENTRYPOINT ["/app/docker-entrypoint.sh"]
```


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|微力同步 ( 京ICP备20030739号-4 )

GMT+8, 2024-4-21 04:08 , Processed in 0.021231 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表