Je vous contacte pour signaler des vulnérabilités détectées dans votre image Docker de la version 5.3.16. D’après notre analyse avec Scout Docker, l’image contient une vulnérabilité critique et 31 vulnérabilités de niveau élevé.
Vulnérabilité Critique :
ID CVE : CVE-2015-0469
Composant affecté : centos/icu 50.2-4.el7_7
Résumé : Cette vulnérabilité est liée à un défaut de type off-by-one, conduisant à un débordement de tampon dans le code de traitement des polices dans le composant 2D d’OpenJDK. Un fichier de police spécialement conçu peut potentiellement amener la Machine Virtuelle Java à exécuter du code arbitraire, permettant à une application ou applet Java non fiable de contourner les restrictions du bac à sable Java. Cette faille semble particulièrement importante à corriger en raison de son potentiel d’exécution de code arbitraire. (c.f. CVE-2015-0469)
Vulnérabilités :
Nombre total : 63 vulnérabilités
Je vous prie de bien vouloir prendre en compte ces informations et d’envisager une mise à jour ou un correctif pour ces vulnérabilités. Veuillez me tenir informé des mesures que vous prévoyez de prendre pour résoudre ces problèmes.
Cordialement,
Steps to reproduce
This request concerns an up-to-date Simplicité instance
and these are the steps to reproduce it:
Migrer dans la version 5.3.16
Constaté dans le docker dekstop (v4.22.1), les 63 anomalies sur l’image
Visiblement la vulnérabilité critique que vous indiquez se situe au niveau de l’OS CentOS 7. Donc dans l’image de base des images Simplicité basées sur cet OS.
Nous rebuildons ces images de base à chaque fois qu’on release de nouvelles révisions de Simplicité.
Si la vulnérabilité en question a été corrigée au niveau des packages CentOS, il y a des chances que l’image de la révision 5.3 à jour = 5.3.22 ne la contienne plus (et si ça n’a pas encore été corrigé, on ne pourra de toute façon rien faire de plus pour le moment)
La révision obsolète 5.3.16 du 30/09 que vous utilisez est en retard de 6 révisions sur sa branche de maintenance LTS, donc d’autant de mises à jour de l’OS de base.
Nous ne rebuildons jamais les images Simplicité des révisions obsolètes. On les conserve uniquement pour des raisons historiques.
Je vous laisse donc commencer par refaire votre analyse sur la base d’une image correspondant à la révision à jour => les tags suivants correspondent tous à cette image : 5-latest, 5, 5.3 ou 5.3.22.
De manière plus générale, solliciter notre support présuppose que vous soyez à jour sur la révision de la branche de maintenance LTS que vous utilisez. Si on doit apporter des corrections/modifications ça se fera de toute façon à partir de la révision à jour et vous devrez upgrader sur la revision suivante pour en bénéficier.
PS: nous avons aussi la capacité de builder à la demande des images Simplicité pour la révision à jour sur des base d’OS alternatifs: Alpine Linux latest, AlmaLinux 8 & 9, et Eclipse-Temurin 21, 17 et 11 (basées sur Debian).
Quant aux alertes sur certains JAR embarqués remontés par votre outil d’analyse et visibles sur votre copie d’écran, j’ai l’impression que se sont des faux positifs car on n’utilise pas les versions indiquées mais des versions (beaucoup) plus récentes:
Ex: une vulnérabilité est indiquée sur la lib org.json dans sa version 20140107, or la version embarquée dans la révision actuelle de la 5.3 de Simplicité est la 20231013, i.e. la dernière version de cette lib qui date, comme son numéro de version l’indique, d’octobre 2023 (et dans le revisions précédentes c’était déjà aussi des versions récentes datant de 2023), pas une version obsolète datant de janvier 2014… Cf. les dependances Java de la 5.3.
Du coup, je suppose qu’une bonne partie des 63 vulnérabilités remontées ne sont pas pertinentes.
Pour plus de précisions sur notre politique d’upgrade des composants tiers, merci de vous reporter à ce document.
@Yan avez vous des remarques/questions ou je peux clore le post ?
Avez vous, notamment, compris pourquoi votre analyse remonte des vulnérabilités sur des librairies JAR dans des versions obsolètes qui ne sont pas celles embarquées dans Simplicité ?
