search

zulip / docker-zulip

Container configurations, images, and examples for Zulip.
https://zulip.com/
Apache License 2.0
587 stars 246 forks source link

update to a newer database contaier #421

Closed schewara closed 10 months ago

schewara commented 11 months ago

The current Database container was last updated ~2 years ago and should be updated, as it accumulated quite some security issues over the time, or upgrade to version 15, as this seems to be the latest supported one.

As I was unable to find the source of the image, I was wondering, why a dedicated image was used instead of the official container?

❯ podman run -it --rm aquasec/trivy image zulip/zulip-postgresql:14

2023-12-16T19:20:40.453Z    INFO    Vulnerability scanning is enabled
2023-12-16T19:20:40.453Z    INFO    Secret scanning is enabled
2023-12-16T19:20:40.453Z    INFO    If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2023-12-16T19:20:40.453Z    INFO    Please see also https://aquasecurity.github.io/trivy/v0.48/docs/scanner/secret/#recommendation for faster secret detection
2023-12-16T19:20:56.513Z    INFO    Detected OS: alpine
2023-12-16T19:20:56.513Z    INFO    Detecting Alpine vulnerabilities...
2023-12-16T19:20:56.528Z    INFO    Number of language-specific files: 0
2023-12-16T19:20:56.540Z    WARN    This OS version is no longer supported by the distribution: alpine 3.15.0
2023-12-16T19:20:56.540Z    WARN    The vulnerability detection may be insufficient because security updates are not provided

zulip/zulip-postgresql:14 (alpine 3.15.0)

Total: 47 (UNKNOWN: 0, LOW: 0, MEDIUM: 19, HIGH: 25, CRITICAL: 3)

┌───────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────┬─────────────────────────────────────────────────────────────┐
│        Library        │ Vulnerability  │ Severity │ Status │ Installed Version │  Fixed Version   │                            Title                            │
├───────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ krb5-libs             │ CVE-2022-42898 │ HIGH     │ fixed  │ 1.19.2-r4         │ 1.19.4-r0        │ krb5: integer overflow vulnerabilities in PAC parsing       │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-42898                  │
│                       ├────────────────┼──────────┤        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2021-37750 │ MEDIUM   │        │                   │ 1.19.3-r0        │ krb5: NULL pointer dereference in process_tgs_req() in      │
│                       │                │          │        │                   │                  │ kdc/do_tgs_req.c via a FAST inner...                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-37750                  │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libcom_err            │ CVE-2022-1304  │ HIGH     │        │ 1.46.4-r0         │ 1.46.6-r0        │ e2fsprogs: out-of-bounds read/write via crafted filesystem  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1304                   │
├───────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libcrypto1.1          │ CVE-2022-0778  │          │        │ 1.1.1l-r7         │ 1.1.1n-r0        │ openssl: Infinite loop in BN_mod_sqrt() reachable when      │
│                       │                │          │        │                   │                  │ parsing certificates                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0778                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-4450  │          │        │                   │ 1.1.1t-r0        │ openssl: double free after calling PEM_read_bio_ex          │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4450                   │
│                       ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0215  │          │        │                   │                  │ openssl: use-after-free following BIO_new_NDEF              │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0215                   │
│                       ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0286  │          │        │                   │                  │ openssl: X.400 address type confusion in X.509 GeneralName  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0286                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0464  │          │        │                   │ 1.1.1t-r2        │ openssl: Denial of service by excessive resource usage in   │
│                       │                │          │        │                   │                  │ verifying X509 policy...                                    │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0464                   │
│                       ├────────────────┼──────────┤        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-2097  │ MEDIUM   │        │                   │ 1.1.1q-r0        │ openssl: AES OCB fails to encrypt some bytes                │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-2097                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-4304  │          │        │                   │ 1.1.1t-r0        │ openssl: timing attack in RSA Decryption implementation     │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4304                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0465  │          │        │                   │ 1.1.1t-r2        │ openssl: Invalid certificate policies in leaf certificates  │
│                       │                │          │        │                   │                  │ are silently ignored                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0465                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-2650  │          │        │                   │ 1.1.1u-r0        │ openssl: Possible DoS translating ASN.1 object identifiers  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-2650                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-3446  │          │        │                   │ 1.1.1u-r2        │ openssl: Excessive time spent checking DH keys and          │
│                       │                │          │        │                   │                  │ parameters                                                  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-3446                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-3817  │          │        │                   │ 1.1.1v-r0        │ OpenSSL: Excessive time spent checking DH q parameter value │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-3817                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-5678  │          │        │                   │ 1.1.1w-r1        │ openssl: Generating excessively long X9.42 DH keys or       │
│                       │                │          │        │                   │                  │ checking excessively long X9.42...                          │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-5678                   │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libldap               │ CVE-2022-29155 │ CRITICAL │        │ 2.6.0-r0          │ 2.6.2-r0         │ OpenLDAP SQL injection                                      │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29155                  │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libretls              │ CVE-2022-0778  │ HIGH     │        │ 3.3.4-r2          │ 3.3.4-r3         │ openssl: Infinite loop in BN_mod_sqrt() reachable when      │
│                       │                │          │        │                   │                  │ parsing certificates                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0778                   │
├───────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libsasl               │ CVE-2022-24407 │          │        │ 2.1.27-r14        │ 2.1.28-r0        │ cyrus-sasl: failure to properly escape SQL input allows an  │
│                       │                │          │        │                   │                  │ attacker to execute...                                      │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-24407                  │
├───────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libssl1.1             │ CVE-2022-0778  │          │        │ 1.1.1l-r7         │ 1.1.1n-r0        │ openssl: Infinite loop in BN_mod_sqrt() reachable when      │
│                       │                │          │        │                   │                  │ parsing certificates                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0778                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-4450  │          │        │                   │ 1.1.1t-r0        │ openssl: double free after calling PEM_read_bio_ex          │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4450                   │
│                       ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0215  │          │        │                   │                  │ openssl: use-after-free following BIO_new_NDEF              │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0215                   │
│                       ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0286  │          │        │                   │                  │ openssl: X.400 address type confusion in X.509 GeneralName  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0286                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0464  │          │        │                   │ 1.1.1t-r2        │ openssl: Denial of service by excessive resource usage in   │
│                       │                │          │        │                   │                  │ verifying X509 policy...                                    │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0464                   │
│                       ├────────────────┼──────────┤        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-2097  │ MEDIUM   │        │                   │ 1.1.1q-r0        │ openssl: AES OCB fails to encrypt some bytes                │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-2097                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-4304  │          │        │                   │ 1.1.1t-r0        │ openssl: timing attack in RSA Decryption implementation     │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4304                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-0465  │          │        │                   │ 1.1.1t-r2        │ openssl: Invalid certificate policies in leaf certificates  │
│                       │                │          │        │                   │                  │ are silently ignored                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0465                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-2650  │          │        │                   │ 1.1.1u-r0        │ openssl: Possible DoS translating ASN.1 object identifiers  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-2650                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-3446  │          │        │                   │ 1.1.1u-r2        │ openssl: Excessive time spent checking DH keys and          │
│                       │                │          │        │                   │                  │ parameters                                                  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-3446                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-3817  │          │        │                   │ 1.1.1v-r0        │ OpenSSL: Excessive time spent checking DH q parameter value │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-3817                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-5678  │          │        │                   │ 1.1.1w-r1        │ openssl: Generating excessively long X9.42 DH keys or       │
│                       │                │          │        │                   │                  │ checking excessively long X9.42...                          │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-5678                   │
├───────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libuuid               │ CVE-2021-3995  │          │        │ 2.37.2-r1         │ 2.37.3-r0        │ util-linux: Unauthorized unmount of FUSE filesystems        │
│                       │                │          │        │                   │                  │ belonging to users with similar uid...                      │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-3995                   │
│                       ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2021-3996  │          │        │                   │                  │ Unauthorized unmount of filesystems in libmount             │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-3996                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-0563  │          │        │                   │ 2.37.4-r0        │ util-linux: partial disclosure of arbitrary files in chfn   │
│                       │                │          │        │                   │                  │ and chsh when compiled...                                   │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                   │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libxml2               │ CVE-2022-2309  │ HIGH     │        │ 2.9.12-r2         │ 2.9.14-r1        │ lxml: NULL Pointer Dereference in lxml                      │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-2309                   │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-23308 │          │        │                   │ 2.9.13-r0        │ libxml2: Use-after-free of ID and IDREF attributes          │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-23308                  │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-40303 │          │        │                   │ 2.9.14-r2        │ libxml2: integer overflows with XML_PARSE_HUGE              │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-40303                  │
│                       ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-40304 │          │        │                   │                  │ libxml2: dict corruption caused by entity reference cycles  │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-40304                  │
│                       ├────────────────┼──────────┤        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-29824 │ MEDIUM   │        │                   │ 2.9.14-r0        │ libxml2: integer overflows in xmlBuf and xmlBuffer lead to  │
│                       │                │          │        │                   │                  │ out-of-bounds write                                         │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29824                  │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libxslt               │ CVE-2021-30560 │ HIGH     │        │ 1.1.34-r1         │ 1.1.35-r0        │ Use after free in Blink XSLT in Google Chrome prior to      │
│                       │                │          │        │                   │                  │ 91.0.4472.164...                                            │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-30560                  │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ lz4-libs              │ CVE-2021-3520  │ CRITICAL │        │ 1.9.3-r0          │ 1.9.3-r1         │ memory corruption due to an integer overflow bug caused by  │
│                       │                │          │        │                   │                  │ memmove argument...                                         │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-3520                   │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ ncurses-libs          │ CVE-2022-29458 │ HIGH     │        │ 6.3_p20211120-r0  │ 6.3_p20211120-r1 │ segfaulting OOB read                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29458                  │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-29491 │          │        │                   │ 6.3_p20211120-r2 │ ncurses: Local users can trigger security-relevant memory   │
│                       │                │          │        │                   │                  │ corruption via malformed data                               │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-29491                  │
├───────────────────────┼────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│ ncurses-terminfo-base │ CVE-2022-29458 │          │        │                   │ 6.3_p20211120-r1 │ segfaulting OOB read                                        │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29458                  │
│                       ├────────────────┤          │        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2023-29491 │          │        │                   │ 6.3_p20211120-r2 │ ncurses: Local users can trigger security-relevant memory   │
│                       │                │          │        │                   │                  │ corruption via malformed data                               │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-29491                  │
├───────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ xz-libs               │ CVE-2022-1271  │          │        │ 5.2.5-r0          │ 5.2.5-r1         │ gzip: arbitrary-file-write vulnerability                    │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1271                   │
├───────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ zlib                  │ CVE-2022-37434 │ CRITICAL │        │ 1.2.11-r3         │ 1.2.12-r2        │ zlib: heap-based buffer over-read and overflow in inflate() │
│                       │                │          │        │                   │                  │ in inflate.c via a...                                       │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-37434                  │
│                       ├────────────────┼──────────┤        │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2018-25032 │ HIGH     │        │                   │ 1.2.12-r0        │ zlib: A flaw found in zlib when compressing (not            │
│                       │                │          │        │                   │                  │ decompressing) certain inputs...                            │
│                       │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2018-25032                  │
└───────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────┴─────────────────────────────────────────────────────────────┘
alexmv commented 10 months ago

Thanks for the report! I've pushed an updated zulip/zulip-postgresql:14 image.

Pezhvak commented 3 months ago

There is something wrong with the image, it needs security context to run on kubernetes and it fails:

Error: container's runAsUser breaks non-root policy