aeris22’s avataraeris22’s Twitter Archive—№ 115,387

  1. …in reply to @0xt48
    @0xt48 @nlavielle Scan qui ne sont généralement pas en capacité de détecter un problème de sécurité. Seulement si le Dockerfile a été correctement fait et que le soft installé ne repose QUE sur du package Debian (y compris lui-même donc).
    On twitter.com Twitter logo aeris22’s avatar Mood 0
    1. …in reply to @aeris22
      @0xt48 @nlavielle Si le Dockerfile modifie une lib système à la porcos ou en écrase une existante (coucou Go), c’est indétectable par la plupart des outils de scan.
      Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
      1. …in reply to @aeris22
        @0xt48 @nlavielle Parce qu’il n’a aucun moyen de savoir que libssl1.1.so ne correspond **PLUS** à la sortie de dpkg -l libssl1.1 donc que malgré que celui-ci dit qu’elle est à jour, ce n’est pas le cas.
        Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
        1. …in reply to @aeris22
          @0xt48 @nlavielle Ou que l’outil de scan ne détectera pas le déploiement d’un libssl1.1.so hors du système.
          Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0
          1. …in reply to @aeris22
            @0xt48 @nlavielle Typiquement, je doute qu’un soft de scan soit capable de détecter une image qui a recompilé son nginx après l’avoir installé via apt. github.com/discourse/discourse_docker/blob/master/image/base/install-nginx#L18-L34
            Permalink On twitter.com Twitter logo aeris22’s avatar Mood +1 🙂
            1. …in reply to @aeris22
              @0xt48 @nlavielle Et ne détectera certainement pas non plus la présence de libbrotli sur le système…
              Permalink On twitter.com Twitter logo aeris22’s avatar Mood 0