MartinMar 10
Ich bin ja von #Portainer auf #Dockhand umgestiegen und dort gibt es die Möglichkeit, die Images auf Schadcode zu scannen. Der Scan von #Paperless_ngx ergab, dass dort 570 Vulnerabilities gefunden wurden, davon 44 kritische.
Wie geht man nun damit um?
Paperless sofort einstampfen?
Wie gefährlich sind solche Vulnerabilities?
Ich habe wirklich keine Ahnung...
Show threadDJGummikuh
@MartinH Hat paperless einen CVE Prozess?
Gefundene Schwachstellen bedeuten erstmal gar nix ohne Einordnung der Entwickler. Unser Produkt hat auch 30+ kritische Schwachstellen die komplett Unfug sind. Beispiel: Eine Schwachstelle in einer Bibliothek erlaubt unauthentifizierzrn Systemzugriff über WebSocket. Wir nutzen zwar die Lib, aber keine Websockets -> Kritische CVE mit nem Score von 9.8 hat nen Environmental Score von 0. Ich will die nicht schützen, aber Kontext ist zwingend nötig hier.
Mar 10 at 7:42amTusky
Show threadDJGummikuhMar 10
@MartinH im Zweifel bei denen ein Issue mit der Liste der gefundenen Schwachstellen eintüten und um Einschätzung bitten
Show threadMartinMar 10
@DJGummikuh Ja, das habe ich schon vermutet. Für mich als normal sterblicher sieht das alles rot aus und alle Alarmglocken klingeln.
Aber weitere Scans ergen, dass in eigentlich allen Images diese Warnungen kommen. Demnach müsste ich meine Selfhosting Projekte ja sofort aufgeben - was natürlich keine Option ist.
Aber es ist schon schwer, das als nicht-Fachmann richtig einzuschätzen.
Show threadDJGummikuhMar 10
@MartinH Self-Hosting ist immer ein Kompromiss. Es ist sinnvoll, individuelle Software immer als verwundbar anzusehen und Vorkehrungen zu treffen
- Software voneinander Trennen, z.b. mit Docker, chroots oder ähnlichem
- Backups!
- Infrastructure as code, um bei einem Ausfall (nicht nur durch Angriff) alles mit wenig Aufwand wieder an den Start zu bringen
- Software regelmäßig aktuell halten
Show threadDJGummikuhMar 10
@MartinH Trotzdem ist Self-Hosting immer ein Risiko, genauso wie die Teilnahme am Straßenverkehr. Ist daher immer auch eine Frage der persönlichen Risiko-Nutzenfrage.