Hi zusammen,
weniger ein Post mit Frage, eher als Dokumentation des status quo:
-
Postgres hat eine Sicherheitslücke. Nicht dramatisch, aber immerhin „hoch“: Kurzinfo CB-K22/0603, PostgreSQL: CVE-2022-1552: Autovacuum, REINDEX, and others omit "security restricted operation" sandbox
-
Ich setze postgres als Dockercontainer ein
-
direkt, z.B. für etherpad, markdown-server oder Greenlight für BBB, da habe ich explizit nach dem docker-container gefragt.
-
Ich setze postgres auch nachgelagert ein, weil ich einen Matrixserver betreibe, dessen installationsskript docker-container zieht, die wiederum postgres beinhalten.
-
könnte es noch docker-container geben, die als Grundimage ein postgres-docker nehmen und updaten, oder postgres intern einsetzen (da habe ich momentan kein Beispiel am Laufen, glaube ich)
- Jetzt ist es so, dass die Fehlermeldung und die neuen Versionen seit 12.Mai existieren. Jetzt, 5 Tage danach, gibt es zwar von postgres offiziell neue Versionen aber im „offziellen“ postgres docker-container noch keine updates, dafür gibt es seit gestern ein github issue
Ich konstatiere:
-
Das geht ein bisschen langsam vonstatten (ok, so what?), obwohl postgres wohl ein irrsinnig wichtiges Softwarepaket und auch ein global player in der docker-welt ist. Was ist dann erst mit Sicherheitslücken von weniger bekannten Paketen/Containern (z.B. etherpad/etherpad) - wann schließen die die Lücken in den Docker-Containern?
-
Nachgelagerte Projekte, die docker-container „ziehen“ und nutzen müssen selbst aktiv sein, z.B. ist die Matrix-Community fix (aber auch im Wartemodus auf upstream-docker-images). Das haben wir (zumindest ich) als docker-nutzer nicht im Blick.
Wenn ich als Maßstab ein Moodle-Update und das folgende Roll-Out von Belwue nehme, dann muss ich mir schon an die Nase fassen:
- Welche Updates mache ich regelmäßig (z.B. ubuntu/debian wöchentlich?)
- Welche Updates mache ich unregelmäßig? (z.B. docker-container updates?)
- Welche Updates verpasse ich, weil ich mir deren nicht bewusst bin (z.B. CVEs in docker-containern)
Vielleicht kristallisiert sich ja ein „Best-Practice“ heraus, wenn jemand von euch da organisierter ist, als ich.
VG, Tobias