Docker 절대 지켜
요즘 해킹이다 뭐다 이야기가 많다. 몇 년이 지나고 몇 번이나 트렌드가 바뀌든 보안은 중요한 요소다. 절대적인 안전은 없으나 세심함, 노력, 능력 혹은 경각심에 따라 충분히 완전에 가까운 보안 체계를 구성할 수 있다고 생각한다. 그러니 이번에는 Docker에서 보안를 강화할 수 있도록 하는 방법을 알아보고자 한다. Docker를 기반으로 동작하는 우리 서비스를 절대 지키자.
최신 버전의 Docker
간단하고도 중요한 모범 사례 중 하나가 상시 최신 버전으로 업데이트하여 알려진 취약점으로부터 시스템을 보호하는 것이다. 최신 버전은 기능 추가뿐만 아니라 간혹 중요한 보안 패치를 내포하고 있기 때문에 필수적이다. 다음은 우분투 환경에서 docker의 버전을 확인하고 최신 버전이 있다면 업그레이드하도록 하는 스크립트다. 이를 크론탭으로 실행할 것이다.
#!/bin/bash
# 로그 파일 설정
LOG_FILE="/var/log/docker_upgrade.log"
# 로그 메시지 함수
log_message() {
echo "$(date): $1" >> $LOG_FILE
echo "$1"
}
# 루트 권한 확인
if [ "$(id -u)" -ne 0 ]; then
echo "이 스크립트는 루트 권한으로 실행해야 합니다."
exit 1
fi
# 스크립트 시작 로그
log_message "도커 버전 체크 시작"
# 현재 도커 버전 확인
CURRENT_VERSION=$(docker --version | awk '{print $3}' | sed 's/,//')
log_message "현재 도커 버전: $CURRENT_VERSION"
# 패키지 목록 업데이트
log_message "패키지 목록 업데이트 중..."
apt update -y
# 사용 가능한 최신 버전 확인
log_message "사용 가능한 최신 버전 확인 중..."
apt-cache madison docker-ce > /tmp/docker_versions.txt
if [ -s /tmp/docker_versions.txt ]; then
LATEST_VERSION=$(head -1 /tmp/docker_versions.txt | awk '{print $3}')
log_message "확인된 최신 도커 버전: $LATEST_VERSION"
else
log_message "사용 가능한 도커 버전을 찾을 수 없습니다. docker.io로 시도합니다."
apt-cache madison docker.io > /tmp/docker_versions.txt
if [ -s /tmp/docker_versions.txt ]; then
LATEST_VERSION=$(head -1 /tmp/docker_versions.txt | awk '{print $3}')
log_message "확인된 최신 docker.io 버전: $LATEST_VERSION"
DOCKER_PACKAGE="docker.io"
else
log_message "오류: 도커 버전을 확인할 수 없습니다."
exit 1
fi
fi
# 버전 비교 및 업그레이드
if [[ "$CURRENT_VERSION" != *"$LATEST_VERSION"* ]]; then
log_message "새 버전이 발견되었습니다. 도커 업그레이드를 시작합니다..."
# 실행 중인 모든 컨테이너 정지
log_message "실행 중인 모든 컨테이너 정지 중..."
RUNNING_CONTAINERS=$(docker ps -q)
if [ -n "$RUNNING_CONTAINERS" ]; then
docker stop $RUNNING_CONTAINERS
else
log_message "실행 중인 컨테이너가 없습니다."
fi
# 도커 업그레이드
log_message "도커 버전 $LATEST_VERSION 설치 중..."
if [ "$DOCKER_PACKAGE" = "docker.io" ]; then
apt install -y docker.io
else
apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
fi
# 업그레이드 확인
NEW_VERSION=$(docker --version | awk '{print $3}' | sed 's/,//')
log_message "도커가 버전 $NEW_VERSION(으)로 업그레이드되었습니다."
# 도커 서비스 재시작
log_message "도커 서비스 재시작 중..."
systemctl restart docker
log_message "도커 업그레이드가 성공적으로 완료되었습니다."
else
log_message "도커가 이미 최신 버전입니다."
fi
# 임시 파일 정리
rm -f /tmp/docker_versions.txt
exit 0
위와 같은 스크립트 파일을 실행한다.
안정적으로 업그레이드가 진행된 것을 확인할 수 있다. 크론탭으로 한 달마다 실행되도록 설정한다면 최신 버전을 유지할 수 있다!
최소 권한의 원칙
Rootless Mode
Docker는 호스트 커널을 빌려 컨테이너를 생성하며, 기본적으로 루트 사용자로 동작한다. 따라서 Docker 데몬과 컨테이너가 비루트(Non-root) 사용자로 실행하여 호스트 시스템 접근을 최소화하도록 Rootless Mode를 활성화한다.
참고로 Rootless 모드는 사용자 네임스페이스 내에서 Docker 데몬과 컨테이너를 실행한다. userns-remap 모드와 유사하지만 Rootless 모드와 다른 점은 Rootless 모드는 데몬과 컨테이너 모두 루트 권한 없이 실행되고, userns-remap 모드는 데몬을 루트 권한으로 실행하는 것이다!
또한 rootless 모드는 컨테이너가 샌드박스화되어 호스트 수준 파일에 접근하거나 다른 컨테이너에 영향을 미치는 것을 방지한다.
dockerd-rootless-setuptool.sh install
rootless 모드 실행
위와 같은 명령어를 사용하여 rootless 모드를 실행할 수 있다.
Linux Capabilities, 그리고 불필요한 기능 있다면
Linux Capabilities는 리눅스 커널에서 프로세스에 부여할 수 있는 특정 권한의 세트다. 전통적인 루트 권한을 세분화해서 필요 최소한의 권한만 프로세스에 부여함으로써 보안을 강화할 수 있다.
주요 Capabilities 종류
- CAP_CHOWN: 파일의 소유자/그룹을 임의로 변경할 수 있는 권한
- CAP_KILL: 다른 사용자의 프로세스에 신호를 보낼 수 있는 권한
- CAP_SETUID: UID를 변경할 수 있는 권한
- CAP_NET_ADMIN: 네트워크 인터페이스 구성 같은 네트워크 관련 작업 권한
- CAP_NET_RAW: RAW와 PACKET 소켓 사용 권한(ping 명령어에 필요)
- CAP_NET_BIND_SERVICE: 1024 이하의 privileged 포트에 바인딩할 수 있는 권한
- CAP_SYS_ADMIN: 파일 시스템 마운트를 포함한 시스템 관리 작업 권한
- CAP_SYS_BOOT: 시스템 재부팅 권한
- CAP_SYS_MODULE: 커널 모듈 로딩 권한
- CAP_SYS_CHROOT: chroot 호출 권한
간단하게 CAP_NET_ADMIN 권한을 부여하여 docker 컨테이너에서 네트워크 인터페이스를 설정할 수 있게 할 수 있다.
docker run --rm -it --cap-add=NET_ADMIN ubuntu
권한이 있다는 것은 그 기능을 다룰 수 있게 된다는 의미다. 특정 컨테이너가 그 기능을 다룰 필요가 없다면 비활성화해두면 되는 것이다. 예를 들자. DB 컨테이너는 호스트의 네트워크나 타 네임스페이스에 접근할 필요가 없다. 따라서 이를 제한하면 된다. 이를 통해 취약점이 되는 기능은 제한되므로 해커의 공격이나 의도치 않은 동작은 사전에 방지할 수 있다.
위의 예시에서는 네트워크 접근이 불필요하므로 --network=none 옵션을 사용할 수 있다. 혹은 --cap-drop=ALL 옵션을 통해 데이터 저장 이외의 모든 역할을 원천차단할 수 있다.
Privilege
privileged container는 호스트 시스템의 거의 모든 권한을 가지도록 설정된 컨테이너다. 말만 들어도 위험해보인다. 이와 반대는 unprivileged container이다. 기본적으로 도커는 unprivileged 모드로 실행된다.
다만, unprivileged 모드로 사용되다 privileged로 권한 상승이 될 수 있다. 가만히 통제되던 대형견이 갑자기 목줄을 풀고 뭐든 할 수 있는 상태가 되면 어떤 일이 벌어질지 모르는 것과 마찬가지다. 그러니 권한 변동을 사전에 막을 필요가 있다.
docker run --security-opt=no-new-privileges alpine
도커의 보안 옵션을 사용하여 컨테이너의 권한 변동을 막아 suid/sgid를 제한할 수 있다.
Linux 보안 모듈 사용
이 보안 모듈(LSM)은 리눅스 커널에 내장됐으며 시스템의 보안 정책을 강력하고 유연하게 구현할 수 있도록 설계된 확장 프레임워크다. 리눅스 보안 모듈은 단순히 사용자/그룹 권한(DAC)만으로는 막을 수 없는 다양한 보안 위협에 대응할 수 있게 해준다. 예를 들어, 시스템 관리자가 실수로 잘못된 권한을 설정했을 때도, LSM 기반의 강제 접근 통제(MAC)는 추가적인 방어선을 제공한다.
다음과 같은 모듈들이 있다.
- SELinux: 시스템 전체에 걸친 매우 강력하고 세밀한 강제 접근 제어(MAC)를 제공합니다. 보안 정책이 엄격하고 복잡하지만, 높은 수준의 보안을 제공
- AppArmor: 프로그램별로 보안 프로필을 적용해, 각 애플리케이션이 할 수 있는 일을 제한합니다. SELinux보다 설정과 관리가 쉽고, 개별 프로그램 단위로 보안을 적용
아래는 SELinux 정책을 적용하는 방법이다.
# 볼륨 SELinux 레이블 설정
semanage fcontext -a -t svirt_sandbox_file_t "/docker_volumes(/.*)?"
restorecon -Rv /docker_volumes
# 컨테이너 실행 시 레이블 강제 적용
docker run -v /data:/data:Z centos
신뢰할 수 있는 이미지
직접 이미지를 생성할 때 사용할 이미지는 항상 공식 이미지나 신뢰할 수 있는 출처에서 가져와야 한다. 신뢰성이 낮은 출처의 이미지는 악성 코드를 포함할 수 있기 때문이다. 가능하면 DockerHub에서 공식이미지를 가져와 사용하자.
이미지 스캔 도구 활용
그럼에도 불구하고 이외의 출처의 이미지를 사용해야 한다면 취약점 검사 도구를 사용하자. 이미지를 스캔하여 취약점이 있는지 검사하는 도구이다. Trivy, Clair, Anchore 등 다양한 도구가 있으나 여기서 trivy만 사용해보자.
sudo apt-get install wget apt-transport-https gnupg lsb-release
wget -qO - https://aquasecurity.github.io/trivy-repo/deb/public.key | sudo apt-key add -
echo deb https://aquasecurity.github.io/trivy-repo/deb $(lsb_release -sc) main | sudo tee -a /etc/apt/sources.list.d/trivy.list
sudo apt-get update
sudo apt-get install trivy다운로드를 먼저 하자. 공식 홈페이지를 확인하면 된다.
https://trivy.dev/v0.18.3/installation/
Installation - Trivy
Installation RHEL/CentOS Add repository setting to /etc/yum.repos.d. $ sudo vim /etc/yum.repos.d/trivy.repo [trivy] name=Trivy repository baseurl=https://aquasecurity.github.io/trivy-repo/rpm/releases/$releasever/$basearch/ gpgcheck=0 enabled=1 $ sudo yum
trivy.dev
이제 특정 이미지를 스캔할 것이다. 굳이 만들어둔 것은 없기에 공식 이미지를 스캔해보고자 한다.
vagrant@master:/$ trivy image redis
2025-05-01T02:24:59Z INFO [vuln] Vulnerability scanning is enabled
2025-05-01T02:24:59Z INFO [secret] Secret scanning is enabled
2025-05-01T02:24:59Z INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2025-05-01T02:24:59Z INFO [secret] Please see also https://trivy.dev/v0.62/docs/scanner/secret#recommendation for faster secret detection
2025-05-01T02:25:02Z INFO Detected OS family="debian" version="12.10"
2025-05-01T02:25:02Z INFO [debian] Detecting vulnerabilities... os_version="12" pkg_num=89
2025-05-01T02:25:03Z INFO Number of language-specific files num=1
2025-05-01T02:25:03Z INFO [gobinary] Detecting vulnerabilities...
2025-05-01T02:25:03Z WARN Using severities from other vendors for some vulnerabilities. Read https://trivy.dev/v0.62/docs/scanner/vulnerability#severity-selection for details.
Report Summary
┌──────────────────────┬──────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├──────────────────────┼──────────┼─────────────────┼─────────┤
│ redis (debian 12.10) │ debian │ 76 │ - │
├──────────────────────┼──────────┼─────────────────┼─────────┤
│ usr/local/bin/gosu │ gobinary │ 59 │ - │
└──────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)
redis (debian 12.10)
Total: 76 (UNKNOWN: 0, LOW: 59, MEDIUM: 15, HIGH: 1, CRITICAL: 1)
┌────────────────────┬─────────────────────┬──────────┬──────────────┬───────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────┼─────────────────────┼──────────┼──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ affected │ 2.6.1 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ │ correctly... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ TEMP-0841856-B18BAF │ │ │ 5.2.15-2+b7 │ │ [Privilege escalation possible to other user than root] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │
│ │ │ │ │ │ │ 8BAF │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2022-0563 │ │ │ 1:2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┤ ├──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ │ will_not_fix │ 9.1-1 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-18018 │ │ affected │ │ │ coreutils: race condition vulnerability in chown and chgrp │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base │ CVE-2022-27943 │ │ │ 12.2.0-14 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4039 │ │ │ │ │ gcc: -fstack-protector fails to guard dynamic stack │
│ │ │ │ │ │ │ allocations on ARM64 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4039 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ │ 2.2.40-1.1 │ │ gnupg: denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-30258 │ │ │ │ │ gnupg: verification DoS due to a malicious subkey in the │
│ │ │ │ │ │ │ keyring │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-30258 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0 │ CVE-2011-3374 │ │ │ 2.6.1 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ │ correctly... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2010-4756 │ │ │ 2.36-9+deb12u10 │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ │ because of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2010-4756 │ │ │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ │ because of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcap2 │ CVE-2025-1390 │ MEDIUM │ │ 1:2.66-4 │ │ libcap: pam_cap: Fix potential configuration parsing error │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-1390 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1 │ CVE-2022-27943 │ LOW │ │ 12.2.0-14 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4039 │ │ │ │ │ gcc: -fstack-protector fails to guard dynamic stack │
│ │ │ │ │ │ │ allocations on ARM64 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4039 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2018-6829 │ │ │ 1.10.1-3 │ │ libgcrypt: ElGamal implementation doesn't have semantic │
│ │ │ │ │ │ │ security due to incorrectly encoded plaintexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2236 │ │ │ │ │ libgcrypt: vulnerable to Marvin Attack │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2236 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30 │ CVE-2011-3389 │ │ │ 3.7.9-2+deb12u4 │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │
│ │ │ │ │ │ │ (BEAST) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules │ CVE-2024-10041 │ MEDIUM │ │ 1.5.2-6+deb12u1 │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules-bin │ CVE-2024-10041 │ │ │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-runtime │ CVE-2024-10041 │ │ │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam0g │ CVE-2024-10041 │ │ │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1 │ CVE-2022-0563 │ LOW │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3 │ CVE-2024-13176 │ MEDIUM │ │ 3.0.15-1~deb12u1 │ │ openssl: Timing side-channel in ECDSA signature computation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-13176 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6 │ CVE-2022-27943 │ LOW │ │ 12.2.0-14 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4039 │ │ │ │ │ gcc: -fstack-protector fails to guard dynamic stack │
│ │ │ │ │ │ │ allocations on ARM64 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4039 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2013-4392 │ │ │ 252.36-1~deb12u1 │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2023-50495 │ MEDIUM │ │ 6.4-4 │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2013-4392 │ LOW │ │ 252.36-1~deb12u1 │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2023-4641 │ MEDIUM │ │ 1:4.13+dfsg1-1+b1 │ │ shadow-utils: possible password leak during passwd(1) change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4641 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-5686 │ LOW │ │ │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ shadow: Improper input validation in shadow-utils package │
│ │ │ │ │ │ │ utility chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-56433 │ │ │ │ │ shadow-utils: Default subordinate ID configuration in │
│ │ │ │ │ │ │ /etc/login.defs could lead to compromise │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56433 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│ │ │ │ │ │ │ AD28 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ mount │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2023-50495 │ MEDIUM │ │ 6.4-4 │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├────────────────────┤ │ │ │ ├───────────────┤ │
│ ncurses-bin │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2023-4641 │ │ │ 1:4.13+dfsg1-1+b1 │ │ shadow-utils: possible password leak during passwd(1) change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4641 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-5686 │ LOW │ │ │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ shadow: Improper input validation in shadow-utils package │
│ │ │ │ │ │ │ utility chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-56433 │ │ │ │ │ shadow-utils: Default subordinate ID configuration in │
│ │ │ │ │ │ │ /etc/login.defs could lead to compromise │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56433 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│ │ │ │ │ │ │ AD28 │
├────────────────────┼─────────────────────┼──────────┤ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base │ CVE-2023-31484 │ HIGH │ │ 5.36.0-7+deb12u2 │ │ perl: CPAN.pm does not verify TLS certificates when │
│ │ │ │ │ │ │ downloading distributions over HTTPS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-4116 │ LOW │ │ │ │ perl: File:: Temp insecure temporary file handling │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31486 │ │ │ │ │ http-tiny: insecure TLS cert default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ sysvinit-utils │ TEMP-0517018-A83CE6 │ │ │ 3.06-4 │ │ [sysvinit: no-root option in expert installer exposes │
│ │ │ │ │ │ │ locally exploitable security flaw] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │
│ │ │ │ │ │ │ 3CE6 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar │ CVE-2005-2541 │ │ │ 1.34+dfsg-1.2+deb12u1 │ │ tar: does not properly warn the user when extracting setuid │
│ │ │ │ │ │ │ or setgid... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2005-2541 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0290435-0B57B5 │ │ │ │ │ [tar's rmt command may have undesired side effects] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │
│ │ │ │ │ │ │ 57B5 │
├────────────────────┼─────────────────────┤ │ ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┤ │ │ │ ├───────────────┤ │
│ util-linux-extra │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┼─────────────────────┼──────────┼──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2023-45853 │ CRITICAL │ will_not_fix │ 1:1.2.13.dfsg-1 │ │ zlib: integer overflow and resultant heap-based buffer │
│ │ │ │ │ │ │ overflow in zipOpenNewFileInZip4_6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45853 │
└────────────────────┴─────────────────────┴──────────┴──────────────┴───────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
usr/local/bin/gosu (gobinary)
Total: 59 (UNKNOWN: 0, LOW: 1, MEDIUM: 24, HIGH: 31, CRITICAL: 3)
┌─────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib │ CVE-2023-24538 │ CRITICAL │ fixed │ v1.18.2 │ 1.19.8, 1.20.3 │ golang: html/template: backticks not treated as string │
│ │ │ │ │ │ │ delimiters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24538 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24540 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper handling of JavaScript │
│ │ │ │ │ │ │ whitespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24540 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24790 │ │ │ │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │
│ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27664 │ HIGH │ │ │ 1.18.6, 1.19.1 │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-28131 │ │ │ │ 1.17.12, 1.18.4 │ golang: encoding/xml: stack exhaustion in Decoder.Skip │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28131 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2879 │ │ │ │ 1.18.7, 1.19.2 │ golang: archive/tar: github.com/vbatts/tar-split: unbounded │
│ │ │ │ │ │ │ memory consumption when reading headers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2879 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2880 │ │ │ │ │ golang: net/http/httputil: ReverseProxy should not forward │
│ │ │ │ │ │ │ unparseable query parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2880 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-29804 │ │ │ │ 1.17.11, 1.18.3 │ ELSA-2022-17957: ol8addon security update (IMPORTANT) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29804 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30580 │ │ │ │ │ golang: os/exec: Code injection in Cmd.Start │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30580 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30630 │ │ │ │ 1.17.12, 1.18.4 │ golang: io/fs: stack exhaustion in Glob │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30630 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30631 │ │ │ │ │ golang: compress/gzip: stack exhaustion in Reader.Read │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30631 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30632 │ │ │ │ │ golang: path/filepath: stack exhaustion in Glob │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30632 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30633 │ │ │ │ │ golang: encoding/xml: stack exhaustion in Unmarshal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30633 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30634 │ │ │ │ 1.17.11, 1.18.3 │ ELSA-2022-17957: ol8addon security update (IMPORTANT) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30634 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30635 │ │ │ │ 1.17.12, 1.18.4 │ golang: encoding/gob: stack exhaustion in Decoder.Decode │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30635 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-32189 │ │ │ │ 1.17.13, 1.18.5 │ golang: math/big: decoding big.Float and big.Rat types can │
│ │ │ │ │ │ │ panic if the encoded... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32189 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41715 │ │ │ │ 1.18.7, 1.19.2 │ golang: regexp/syntax: limit memory used by parsing regexps │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41715 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41716 │ │ │ │ 1.18.8, 1.19.3 │ Due to unsanitized NUL values, attackers may be able to │
│ │ │ │ │ │ │ maliciously se... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41716 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41720 │ │ │ │ 1.18.9, 1.19.4 │ golang: os, net/http: avoid escapes from os.DirFS and │
│ │ │ │ │ │ │ http.Dir on Windows │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41720 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41722 │ │ │ │ 1.19.6, 1.20.1 │ golang: path/filepath: path-filepath filepath.Clean path │
│ │ │ │ │ │ │ traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41722 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41723 │ │ │ │ │ golang.org/x/net/http2: avoid quadratic complexity in HPACK │
│ │ │ │ │ │ │ decoding │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41724 │ │ │ │ │ golang: crypto/tls: large handshake records may cause panics │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41724 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41725 │ │ │ │ │ golang: net/http, mime/multipart: denial of service from │
│ │ │ │ │ │ │ excessive resource consumption │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41725 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24534 │ │ │ │ 1.19.8, 1.20.3 │ golang: net/http, net/textproto: denial of service from │
│ │ │ │ │ │ │ excessive memory allocation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24534 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24536 │ │ │ │ │ golang: net/http, net/textproto, mime/multipart: denial of │
│ │ │ │ │ │ │ service from excessive resource consumption │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24536 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24537 │ │ │ │ │ golang: go/parser: Infinite loop in parsing │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24537 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24539 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper sanitization of CSS values │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24539 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29400 │ │ │ │ │ golang: html/template: improper handling of empty HTML │
│ │ │ │ │ │ │ attributes │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29400 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29403 │ │ │ │ 1.19.10, 1.20.5 │ golang: runtime: unexpected behavior of setuid/setgid │
│ │ │ │ │ │ │ binaries │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29403 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39325 │ │ │ │ 1.20.10, 1.21.3 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│ │ │ │ │ │ │ excessive work (CVE-2023-44487) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45283 │ │ │ │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\ │
│ │ │ │ │ │ │ prefix as... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45283 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45287 │ │ │ │ 1.20.0 │ golang: crypto/tls: Timing Side Channel attack in RSA based │
│ │ │ │ │ │ │ TLS key exchanges.... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45287 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45288 │ │ │ │ 1.21.9, 1.22.2 │ golang: net/http, x/net/http2: unlimited number of │
│ │ │ │ │ │ │ CONTINUATION frames causes DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45288 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34156 │ │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │
│ │ │ │ │ │ │ which contains deeply nested structures... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1705 │ MEDIUM │ │ │ 1.17.12, 1.18.4 │ golang: net/http: improper sanitization of Transfer-Encoding │
│ │ │ │ │ │ │ header │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1705 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1962 │ │ │ │ │ golang: go/parser: stack exhaustion in all Parse* functions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1962 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-32148 │ │ │ │ │ golang: net/http/httputil: NewSingleHostReverseProxy - omit │
│ │ │ │ │ │ │ X-Forwarded-For not working │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32148 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41717 │ │ │ │ 1.18.9, 1.19.4 │ golang: net/http: excessive memory growth in a Go server │
│ │ │ │ │ │ │ accepting HTTP/2 requests... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-24532 │ │ │ │ 1.19.7, 1.20.2 │ golang: crypto/internal/nistec: specific unreduced P-256 │
│ │ │ │ │ │ │ scalars produce incorrect results │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24532 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29406 │ │ │ │ 1.19.11, 1.20.6 │ golang: net/http: insufficient sanitization of Host header │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29406 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29409 │ │ │ │ 1.19.12, 1.20.7, 1.21.0-rc.4 │ golang: crypto/tls: slow verification of certificate chains │
│ │ │ │ │ │ │ containing large RSA keys │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29409 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39318 │ │ │ │ 1.20.8, 1.21.1 │ golang: html/template: improper handling of HTML-like │
│ │ │ │ │ │ │ comments within script contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39318 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39319 │ │ │ │ │ golang: html/template: improper handling of special tags │
│ │ │ │ │ │ │ within script contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39319 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39326 │ │ │ │ 1.20.12, 1.21.5 │ golang: net/http/internal: Denial of Service (DoS) via │
│ │ │ │ │ │ │ Resource Consumption via HTTP requests... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39326 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45284 │ │ │ │ 1.20.11, 1.21.4 │ On Windows, The IsLocal function does not correctly detect │
│ │ │ │ │ │ │ reserved de ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45284 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45289 │ │ │ │ 1.21.8, 1.22.1 │ golang: net/http/cookiejar: incorrect forwarding of │
│ │ │ │ │ │ │ sensitive headers and cookies on HTTP redirect... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45289 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45290 │ │ │ │ │ golang: net/http: golang: mime/multipart: golang: │
│ │ │ │ │ │ │ net/textproto: memory exhaustion in │
│ │ │ │ │ │ │ Request.ParseMultipartForm │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45290 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24783 │ │ │ │ │ golang: crypto/x509: Verify panics on certificates with an │
│ │ │ │ │ │ │ unknown public key algorithm... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24783 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24784 │ │ │ │ │ golang: net/mail: comments in display names are incorrectly │
│ │ │ │ │ │ │ handled │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24784 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24785 │ │ │ │ │ golang: html/template: errors returned from MarshalJSON │
│ │ │ │ │ │ │ methods may break template escaping │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24785 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24789 │ │ │ │ 1.21.11, 1.22.4 │ golang: archive/zip: Incorrect handling of certain ZIP files │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24789 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-24791 │ │ │ │ 1.21.12, 1.22.5 │ net/http: Denial of service due to improper 100-continue │
│ │ │ │ │ │ │ handling in net/http │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24791 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34155 │ │ │ │ 1.22.7, 1.23.1 │ go/parser: golang: Calling any of the Parse functions │
│ │ │ │ │ │ │ containing deeply nested literals... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34155 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34158 │ │ │ │ │ go/build/constraint: golang: Calling Parse on a "// +build" │
│ │ │ │ │ │ │ build tag line with... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34158 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45336 │ │ │ │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly │
│ │ │ │ │ │ │ sent after cross-domain redirect │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45336 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45341 │ │ │ │ │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│ │ │ │ │ │ │ bypass URI name... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45341 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-22866 │ │ │ │ 1.22.12, 1.23.6, 1.24.0-rc.3 │ crypto/internal/nistec: golang: Timing sidechannel for P-256 │
│ │ │ │ │ │ │ on ppc64le in crypto/internal/nistec │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-22866 │
│ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-22871 │ │ │ │ 1.23.8, 1.24.2 │ net/http: Request smuggling due to acceptance of invalid │
│ │ │ │ │ │ │ chunked data in net/http... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-22871 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-30629 │ LOW │ │ │ 1.17.11, 1.18.3 │ golang: crypto/tls: session tickets lack random │
│ │ │ │ │ │ │ ticket_age_add │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30629 │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘
redis 이미지를 스캔해보니 위와 같이 나온다. 우측에는 취약점을 항목별로 보고했으며 링크에 있는 주소로 접속하면 상세하게 취약점에 대한 조치 관련 솔루션을 제시해주고 있다.
distroless 이미지 사용
애플리케이션과 런타임 종속성만 포함하는 이미지를 사용할 수 있다. 다시 말해 이는 필수적인 구성 요소만 포함한 이미지다.
최소한의 구성요소만 포함함으로써 이미지 크기를 줄이고 보안까지 강화할 수 있다.
아래는 멀티 스테이지 빌드를 활용해서 Go 어플리케이션을 위한 distroless 이미지(Dockerfile)를 만든 것이다.
# 빌드 스테이지
FROM golang:1.20 AS builder
WORKDIR /app
COPY go.mod go.sum ./
RUN go mod download
COPY . .
# 정적 바이너리 빌드 (외부 C 라이브러리 의존성 제거)
RUN CGO_ENABLED=0 go build -o /go/bin/app
# 최종 스테이지
FROM gcr.io/distroless/static:latest
# 빌드 스테이지에서 바이너리 복사
COPY --from=builder /go/bin/app /app
# 애플리케이션 실행
CMD ["/app"]
네트워크 보안 설정
컨테이너 간 통신 제한
도커의 컨테이너 간 통신을 제한하는 것만으로도 보안 조치가 될 수 있다.
방화벽 설정
도커 데몬 포트(2375/2376)를 외부에서 접근할 수 없도록 방화벽을 설정할 수 있다.
# iptables를 사용한 포트 차단
iptables -A INPUT -p tcp --dport 2375 -j DROP
# UFW를 사용한 포트 차단
ufw deny 2375/tcp
리소스 제한
악의적인 코드가 호스트 시스템의 자원을 과도하게 사용하지 않도록 사전에 방지할 수 있다.
도커 컨테이너를 시작하기에 앞서 다음과 같은 옵션으로 사용량을 제한하자.
# 메모리와 CPU 제한 예시
docker run --memory=512m --cpus="1.0" my-container
인증 및 암호 관리
도커에는 자체적으로 암호를 생성해서 민감한 정보를 관리할 수 있는 기능이 내장돼 있다.
이건 도커 스웜모드에서만 가능하다!
# Docker Secrets 사용 예시
# 암호 생성 및 저장
docker secret create my_secret /path/to/super-secret-data.txt
# Docker Swarm 모드에서 새로운 서비스를 생성하고, 서비스에 my_secret이라는 Docker Secret을 연결합니다.
docker service create --name web --secret my_secret nginx:latest
해당 기능은 Docker Compose에서도 제공한다.
생각
Spring Security를 처음 배웠을 때도 느꼈지만 컴퓨터 전반에 대한 근본적 혹은 포괄적인 이해가 없다면 보안에 대한 난해함을 느낄 가능성이 높은 것 같다. 그만큼 정말 방대하고 깊이가 중요한 영역이기 때문이다. 최근 들어서 SKT 해킹 사태로 그 중요성이 매번 상기되고 있다. 지금부터라도 보안을 조금씩 배워서 어느정도 자체적인 보안 솔루션을 구축할 수 있는 인재가 되고자 한다.
728x90
반응형
'Tech > Docker' 카테고리의 다른 글
| Docker Swarm! (0) | 2025.04.25 |
|---|