CONF08_Presence de paquet inutile ou dangereux sur un conteneur en production

[ClemGerard]

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns="http://www.w3.org/TR/REC-html40">

Priorité de mise en œuvre | Complexité de mise en œuvre -- | -- MOYEN TERME | MOYENNE

Constat

Le paquet gcc à été identifié sur le conteneur de backend.

Risque

Le paquet gcc peut permettre à un attaquant de compiler du code malveillant directement sur le conteneur dans la perspective d’une attaque sur un paquet ou le noyau. La possibilité de compiler localement facilite l’exploitation.

Tasks

Afin de réduire la surface d'attaque, il est recommandé de :

• [ ] désinstaller tous les paquets non nécessaires au bon fonctionnement du serveur et de l'application.
• [ ] supprimer le paquet gcc du conteneur backend.

[thomashbrnrd]

Comme indiqué dans le Dockerfile,

# librairies necessary for image processing
RUN apt update && apt install -y \
    libgl1-mesa-glx \
    libglib2.0-0 \
    curl \
    gcc \
    && rm -rf /var/lib/apt/lists/*

les paquets installés sont nécessaires au build de l'image Docker de Basegun.