Docker Scout CVE 的基本 Microsoft .NET Docker 映像的严重性级别不正确

Docker Scout CVEs have incorrect severity levels for base Microsoft .NET docker images

提问人:Artem Repko 提问时间:9/25/2023 最后编辑:Artem Repko 更新时间:10/17/2023 访问量:104

问:

我试图了解基础Microsoft aspnet docker 映像(如 mcr.microsoft.com/dotnet/aspnet:6.0 或 aspnet:6.0-bookworm-slim)的安全性有什么问题。

我提取了实际图像并通过 docker scout 获得了信息,它们只有低严重性 cve:

> docker scout quickview mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim
 
Your image  mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim  │    0C     0H     0M    20L

但如果你更准确地看它:

> docker scout cves mcr.microsoft.com/dotnet/aspnet:6.0-bookworm-slim

您可以找到如下CVE:

0C     0H     0M     2L  perl 5.36.0-7
pkg:deb/debian/[email protected]?os_distro=bookworm&os_name=debian&os_version=12

    x LOW CVE-2023-31486
      https://scout.docker.com/v/CVE-2023-31486
      Affected range : >=5.36.0-7
      Fixed version  : not fixed

    x LOW CVE-2011-4116
      https://scout.docker.com/v/CVE-2011-4116
      Affected range : >=5.36.0-7
      Fixed version  : not fixed

最后,当您转到 CVE-2023-31486 页面时 https://scout.docker.com/vulnerabilities/id/CVE-2023-31486?utm_source=desktop&utm_medium=ExternalLink

您将在 nist 上看到(这是我们推荐的此 CVE 来源),此 CVE 的得分为 8.1,严重性为高!enter image description here

在 aspnet 运行时应用的这些官方基础映像中,有许多严重性为高的此类 CVE。

我的第一个问题,为什么 Docker Scout 在其报告中与绝对错误的 cve 级别混淆? 我的第二个问题,将基本 Microsoft 映像用于 .net 应用程序的最佳实践是什么?我是否应该使用更新的组件创建自定义映像?或者也许我应该只使用高山图像?

asp.net .NET Docker 安全 CVE

评论

答:

1赞 Christian Dupuis 10/17/2023 #1

示例中的图像基于 Debian Bookworm。Docker Scout 更喜欢 Linux 发行版的供应商和安全研究团队的严重性和评分。

因此,在您的具体示例中,CVE-2023-31486 在 NIST 上标记为高,但在 https://security-tracker.debian.org/tracker/CVE-2023-31486 上被视为“不重要”。

如果有帮助,请告诉我,

光盘

评论

0赞 Artem Repko 10/18/2023
谢谢。在这种情况下,最好在 scout 的漏洞页面上删除 NIST 的标签“这是我们推荐的此 CVE 来源”。

上一个:React Native:在 Android 上使用 FLAG_SECURE 实现自定义背景屏幕

下一个:SAGE - 通过 IIS 的 ODBC - ACCDATA 文件夹所需的最低文件夹权限