seafile 9.0.10 docker镜像内置的nginx存在严重安全漏洞

cnskylee · 2023 年7 月 16 日 08:07

seafile免费版本（9.0.10）的docker镜像内置的nginx版本（1.18.0）存在严重安全漏洞，建议官方尽快将内置的nginx版本升级到1.24.0最新版本。

docker exec -ti seafile /bin/bash

root@8feaf30357b6:/opt/seafile# cd /usr/sbin/
root@8feaf30357b6:/usr/sbin# ./nginx -V
nginx version: nginx/1.18.0 (Ubuntu)
TLS SNI support enabled
configure arguments: --with-cc-opt=‘-g -O2 -fdebug-prefix-map=/build/nginx-lUTckl/nginx-1.18.0=. -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2’ --with-ld-opt=‘-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -fPIC’ --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-compat --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-mail=dynamic --with-mail_ssl_module

我尝试本地带内置参数编译，然后更新镜像里面的nginx主程序，但是编译的时候报下面的错误，暂时还没找到解决方法：
checking for --with-ld-opt=“-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -fPIC” … not found
./configure: error: the invalid value in --with-ld-opt=“-Wl,-Bsymbolic-functions -Wl,-z,relro -Wl,-z,now -fPIC”

han-seafile · 2023 年7 月 17 日 02:02

可以根据nginx官方的方式获取源进行更新

cnskylee · 2023 年7 月 17 日 06:10

docker容器啊！docker容器啊！docker容器啊！不是二进制！

han-seafile · 2023 年7 月 17 日 06:19

容器内也可以是使用apt 源更新，然后自己保存一个镜像版本就好了

cnskylee · 2023 年7 月 17 日 06:22

官方这边就不能直接更新一个包含了最新nginx稳定版的seafile的镜像版本吗？能不能负点责任？虽然是免费的，也不能把包含了严重安全漏洞的镜像，开放给大众使用吧？

han-seafile · 2023 年7 月 17 日 07:26

没有说不更新，只是现在还没有发布，如果着急可以先自己升级一下

cnskylee · 2023 年7 月 17 日 07:37

我估计你们所有的镜像里面带的nginx版本应该都存在高危的安全漏洞（CVE-2021-23017），这个漏洞出现很久了，查了下资料，最早应该是2021年6月曝光的，现在都2023年7月了。说明你们的开发团队对于产品的安全，并不敏感，或者也不在意免费用户的信息安全。这让我感觉到很失望！

Linda · 2023 年7 月 26 日 09:33

官方人力成本有限，不是不在意免费用户的信息安全，，应该是真的没时间。如果你有能力，可以到 github 上给开源代码做一些贡献，减轻官方人员维护的压力。看到很多开源代码已知的问题都没有来得及修复。

cnskylee · 2023 年7 月 26 日 23:46

我本来是想自己做一个集成最新nginx主程序版本的seafile镜像，但是你可以看见，你们官方镜像包里面的nginx编译，有个参数，我本地编译报错，这个参数我没遇到过，也不知道如何解决。

rainsun · 2023 年7 月 27 日 03:27

该升级了，我从9.03直接升级到了10.7，nginx已经是1.24的了