starrocks3.2.7镜像安全漏洞问题处理

eaglebzhang · 2024年07月10日 02:58

【详述】问题详细描述

扫出了一些安全漏洞，咨询下官方能否修复？
【是否存算分离】否
【StarRocks版本】3.2.7

lvlouisaslia · 2024年07月10日 03:41

请问扫描的是具体哪个镜像?

eaglebzhang · 2024年07月10日 07:26

starrocks/fe-ubuntu:latest和starrocks/be-ubuntu:latest 3.2.7版本

lvlouisaslia · 2024年07月10日 18:41

https://launchpad.net/ubuntu/+source/curl/7.81.0-1ubuntu1.16

curl 7.81.0 on ubuntu22.04 should be patched with the CVE fixes. It is not necessary to be updated to v8.4.0

lvlouisaslia · 2024年07月10日 18:41

those apache log4j security issues, please open a github issue, will have someone to address that.

cmptmn · 2024年07月11日 01:19

@lvlouisaslia 可以把这任务分给我处理吗？我以前处理过log4j相关的安全漏洞。

lvlouisaslia · 2024年07月11日 02:28

@cmptmn你开一个github issue, 我assign给你.

cmptmn · 2024年07月11日 02:43

@lvlouisaslia 好的

cmptmn · 2024年07月11日 03:31

@lvlouisaslia 这个issuehttps://github.com/StarRocks/starrocks/issues/48179。

lvlouisaslia · 2024年07月11日 03:32

感谢!

cmptmn · 2024年07月11日 03:43

@lvlouisaslia 不客气。另外我看Dockerfile里用的就是ubuntu:22.04 ，curl那个不用处理了，是吗？

lvlouisaslia · 2024年07月11日 03:51

是的, 扫出libcurl7.69的那个漏洞是具体是这个: https://curl.se/docs/CVE-2023-38545.html

在ubuntu上7.81.0-1ubuntu1.14就修了. Ubuntu22.04是LTS版本, 基本的安全漏洞都会有及时的版本更新.

curl (7.81.0-1ubuntu1.16) jammy-security; urgency=medium

  * SECURITY UPDATE: HTTP/2 push headers memory-leak
    - debian/patches/CVE-2024-2398.patch: push headers better cleanup in
      lib/http2.c.
    - CVE-2024-2398

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Tue, 19 Mar 2024 08:16:19 -0400

curl (7.81.0-1ubuntu1.15) jammy-security; urgency=medium

  * SECURITY UPDATE: cookie mixed case PSL bypass
    - debian/patches/CVE-2023-46218.patch: lowercase the domain names
      before PSL checks in lib/cookie.c.
    - CVE-2023-46218

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Wed, 29 Nov 2023 14:23:00 -0500

curl (7.81.0-1ubuntu1.14) jammy-security; urgency=medium

  * SECURITY UPDATE: SOCKS5 heap buffer overflow
    - debian/patches/CVE-2023-38545.patch: return error if hostname too
      long for remote resolve in lib/socks.c, tests/data/Makefile.inc,
      tests/data/test728.
    - CVE-2023-38545
  * SECURITY UPDATE: cookie injection with none file
    - debian/patches/CVE-2023-38546.patch: remove unnecessary struct fields
      in lib/cookie.c, lib/cookie.h, lib/easy.c.
    - CVE-2023-38546

 -- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Tue, 03 Oct 2023 13:15:41 -0400

eaglebzhang · 2024年07月11日 08:46

@lvlouisaslia @cmptmn 我上面发的截图，老师们帮评估下什么时候能修复？像libcurl是官方基础镜像里的漏洞，log4j是starrocks内核源码中的漏洞

cmptmn · 2024年07月11日 09:32

我今天可以提RP。至于镜像由StarRocks官方发的，可能不会这么快发的。log1.2.17是由hudi-common0.14.1间接依赖引入的，log4j2.19.0有log1.2的兼容API，所以log1.2.7的包不是必须的。如果你如果急着修复漏洞可以在fe/lib下把log4j-1.2.17.jar的包删了。

eaglebzhang · 2024年07月11日 13:34

好的，辛苦老师提下RP, 代码仓库帮发下

eaglebzhang · 2024年07月11日 13:45

@lvlouisaslia 老师意思是我上面发的截图中的安全漏洞在starrocks3.2.6及以上版本都没问题，我现在用的就是starrocks3.2.7，为什么还是扫出libcurl的安全漏洞，请教下具体如何处理

lvlouisaslia · 2024年07月11日 14:33

得看你的安全工具了.

eaglebzhang · 2024年07月12日 02:55

@lvlouisaslia @cmptmn

老师们，这两个log4j的jar 在be的容器里没找到，了解下是从哪里搞进去的？我要修改
/data/kubernetes/docker/overlay2/cf89b2b53070be6f01ce5abb12ffa224840f908c3dc92547e9c8cc132209851b/diff/opt/starrocks/be/lib/hive-reader-lib/log4j-1.2.17.jar
/data/kubernetes/docker/overlay2/cf89b2b53070be6f01ce5abb12ffa224840f908c3dc92547e9c8cc132209851b/diff/opt/starrocks/be/lib/hudi-reader-lib/log4j-1.2.17.jar
这两个jar 需要怎处理？

eaglebzhang · 2024年07月12日 03:14

搞定了

starrocks3.2.7镜像 安全漏洞问题处理

starrocks3.2.7镜像安全漏洞问题处理