dotnet-docker项目中Chiseled镜像的CVE-2024-6119问题修复分析
在dotnet-docker项目中,近期发现了一个关于Chiseled镜像的安全问题。CVE-2024-6119是一个影响OpenSSL组件的安全问题,该问题主要影响执行证书名称检查的应用程序。当应用程序比较预期名称与X.509证书的subject alternative name时,可能会尝试读取无效的内存地址,导致应用程序异常终止。
这个问题的严重程度被评估为中等,因为它可能导致拒绝服务攻击。值得注意的是,基本的证书链验证(签名、日期等)不受影响,只有在应用程序同时指定预期的DNS名称、电子邮件地址或IP地址时才会触发此问题。TLS服务器通常不受影响,因为它们很少请求客户端证书,即使请求也很少执行针对参考标识符的名称检查。
在标准dotnet-sdk镜像中,这个问题已经在上游修复后得到了解决。然而,Chiseled镜像由于其特殊的设计理念,更新机制有所不同。Chiseled是一种"distroless"镜像,这意味着它没有可更新的基础镜像,这也是它没有立即获得更新的技术原因。
根据dotnet-docker项目的镜像更新策略,目前只针对基础镜像更新和关键严重性问题进行重建。对于中等严重性的问题,项目团队认为镜像使用者可以根据自身应用的安全需求决定是否需要更新。这种策略旨在避免不必要的下游重建,特别是在Chiseled这种攻击面已经大大减少的特殊镜像上。
对于使用Ubuntu Chiseled镜像的用户,目前扩展或更新镜像的支持还比较有限。Ubuntu方面正在进行相关工作来改进这一状况。项目团队也欢迎用户反馈,以评估是否需要调整对distroless镜像的更新策略。
从安全最佳实践的角度来看,开发人员应该:
- 了解自己使用的镜像类型及其更新机制
- 评估应用程序是否执行证书名称检查等可能受此问题影响的操作
- 关注定期的安全更新周期(如每月的补丁星期二)
- 考虑使用安全扫描工具定期检查容器镜像
值得注意的是,在后续的定期更新中,这个问题已经得到解决。最新扫描结果显示,更新后的镜像已经不再受CVE-2024-6119影响。这再次强调了保持镜像更新的重要性,特别是在安全敏感的应用场景中。
HunyuanImage-3.0
HunyuanImage-3.0 统一多模态理解与生成,基于自回归框架,实现文本生成图像,性能媲美或超越领先闭源模型00ops-transformer
本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。C++043Hunyuan3D-Part
腾讯混元3D-Part00GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~0289Hunyuan3D-Omni
腾讯混元3D-Omni:3D版ControlNet突破多模态控制,实现高精度3D资产生成00GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00- HHowToCook程序员在家做饭方法指南。Programmer's guide about how to cook at home (Chinese only).Dockerfile09
- PpathwayPathway is an open framework for high-throughput and low-latency real-time data processing.Python00
项目优选









