2023年10月11日に CVE-2023-38545 の curl の脆弱性が公開されました
脆弱性の対象
curl 、 libcurl のバージョン7.69.0以上、8.3.0以下が対象となります。
- Armadillo Base OS の全バージョン、alpine 3.11 以上、debian bullseye 以上等で使われている物は対象となりますが、後述の条件のため影響ありません。
- Debianを搭載している製品で利用している debian buster と debian stretch はバージョン対象外です。
条件としては SOCKS5 のプロキシを設定した上で、攻撃者がコントロールする URL へアクセスする場合にバッファーオーバーフローの可能性があります。 SOCKS5 を使わない場合に影響ありません。
したがって、Armadillo Base OS では実装上SOCKS5 プロキシを使用しないため影響を受けません。
ご自身のコンテナで SOCKS5 のプロキシを使用する場合はコンテナ側のソフトウェアを更新してください。
修正方法
コンテナで SOCKS5 を使用する場合は更新してください。
更新方法は二つあります:
- コンテナを Armadillo 上で直接的に更新する
- ATDE でコンテナを更新して、SWU で改めて転送する
以下の方法ではパッケージがすでに更新できる状態になっている想定ですが、コンテナの OS によってパッケージがまだない可能性もあります。更新した後にバージョンを確認してください。
debian の場合に修正されているバージョン一覧はこちらです。alpine の場合はパッケージが 8.4.0-r0 で修正されています。
Armadillo 上で直接的に更新
コンテナで apt 等を使って更新することはできます。更新した後に podman commit でコンテナイメージを保存して、 abos-ctrl podman-storage でその保存を永続化します。
以下の例ではコンテナ名を demo_app にして、コンテナイメージを demo-container:latest にします。
armadillo:~# podman exec -ti demo_app bash
root@e67f7cd31f45:/# apt update
root@e67f7cd31f45:/# apt upgrade
root@e67f7cd31f45:/# exit
armadillo:~# podman commit demo_app localhost/demo-container:latest
armadillo:~# podman kill -a
armadillo:~# abos-ctrl podman-storage
: (省略)
What should we do? ([C]opy (default), [N]othing, [D]elete)
copy <-- ここを入力するかデフォルトで進みます
armadillo:~# podman_start -a
ATDE でコンテナを更新する
VSCode プロジェクトを使う場合は「Generate Release SWU」を使って新しいイメージをビルドしてください。
過去にコンテナをビルドした場合、ATDE内にビルド済みのキャッシュがあります。新規にビルドし直す必要があるので、一旦キャッシュを削除するために podman image rm を実行してください。