[困っていたこと]
2023年3月にAmazon Linux 2023が発表された。
これを受けて、2023年9月くらいから、ある環境で利用しているDockerイメージのベースをAmazon Linux 2023 (以下AL2023)に変更した。
AWS関連で利用しているので、このDockerイメージはAmazon Elastic Container Registry (Amazon ECR)上で管理している。他のイメージ同様、push時にDockerイメージのスキャンを実行する設定になっている。
ところが、Dockerイメージをpushしても、スキャンのステータスの欄には*2、「サポートされていない」と表示されてしまっていた。
詳細をクリックすると以下のダイアログが表示された。
どうやらAL2023のスキャンはサポートされていないようであった(2023年9月時点)。
[通知なしのアップデート]
2023/11/21に、そういえばAWS re:Invent 2023も近いし、そろそろアップデートされていないかな、と思ってグーグル検索にかけたところ、以下のGitHubイシューがヒットした。
arjramanさんの2023/11/14のコメントには、以下のように書かれている。
Hi all. ECR Basic Scanning now supports AL2023 in all regions. Thank you again for your patience regarding this issue.
(私訳:みんな、ECRのベーシックスキャンがAL2023を全リージョンでサポートしたよ!お待たせ!)
11/8時点のコメントでは「Eagerly awaiting an update!」と書かれており、アップデートが熱望されていたのが分かる。
しかし、What's newのページを見ても、それらしいアップデートは掲載されていなかった。ドキュメントを漁っていると、ようやくそれらしい記述を発見した。
以下のページにはAmazon ECR スキャンがAL2023をサポートしていると書かれている。Amazon Linux 2と同様、Amazonがセキュリティアドバイザリを提供してくれる様子。
[やってみた]
ものは試し、ということでスキャンを実行してみた。
無事スキャンステータスが「完了」になった。と同時に、脆弱性の欄に黄色い警告が...orz
詳細をクリックすると、脆弱性の一覧が表示された。
Twitterとかでちょっと話題になっていたやつだ。
[注意喚起]
— FutureVuls-SSVC搭載の脆弱性管理クラウド (@futurevuls) 2023年10月4日
10/11に、curl8.4.0がリリースされます。これはリリースサイクル外の提供で、curlの長い歴史の中で最悪の問題を修正した物、のになるそうです。
対象はcurl/libcurlで、作者によるseverityはHIGH。詳細は10/11迄開示しない、ようです。
最終的にはSOCKS5プロキシを使っている場合のみ影響ありということで、あまり関係はなさそうだったのでヨシ。とはいえ他の脆弱性も見つかっているし、順次対応していこう...。