TiDB依赖漏洞修复

EricSong · 2024 年7 月 15 日 02:13

【 TiDB 使用环境】生产环境
【 TiDB 版本】v6.5.10
【遇到的问题：问题现象及影响】
公司的安全漏洞扫描发现一些如下依赖存在安全风险需要修复

CVE number (if any):
Component       Version     Vulnerability Id       Cves                Package                                                             Fix Available
tidb-operator   v1.4.7      GHSA-hqxw-f8mx-cpmw    CVE-2023-2253       github.com/docker/distribution-v2.7.1+incompatible                  2.8.2-beta.1
tidb-operator   v1.4.7      GHSA-cg3q-j54f-5p7p    CVE-2022-21698      github.com/prometheus/client_golang-v1.11.0                         1.11.1
tidb-operator   v1.4.7      GHSA-2xhq-gv6c-p224    CVE-2020-15114      go.etcd.io/etcd-v0.5.0-alpha.5.0.20200819165624-17cef6e3e9d5        3.3.23
tidb-operator   v1.4.7      GHSA-8c26-wmh5-6g9v    CVE-2022-27191      golang.org/x/crypto-v0.0.0-20201216223049-8b5274cf687f              0.0.0-20220314234659-1baeb1ce4c0b
tidb-operator   v1.4.7      GHSA-4374-p667-p6c8    CVE-2023-39325      golang.org/x/net-v0.0.0-20220127200216-cd36cc0744dd                 0.17.0
tidb-operator   v1.4.7      GHSA-69ch-w2m2-3vjp    CVE-2022-32149      golang.org/x/text-v0.3.7                                            0.3.8
tidb-operator   v1.4.7      GHSA-m425-mq94-257g                        google.golang.org/grpc-v1.27.0                                      1.56.3
tidb-operator   v1.4.7      GHSA-hq6q-c2x6-hmch    CVE-2023-5528       k8s.io/kubernetes-v1.19.16                                          1.25.16
tidb            v6.5.10     GHSA-m425-mq94-257g                        google.golang.org/grpc-v1.51.0                                      1.56.3
pd              v6.5.10     GHSA-2xhq-gv6c-p224    CVE-2020-15114      go.etcd.io/etcd-v0.5.0-alpha.5.0.20240131130919-ff2304879e1b        3.3.23

但因为这些依赖涉及组件较多且有不少是跨多个大版本升级，因此我们担心升级依赖会造成问题
目前我们想到的几个方法是：

是否存在相关自动化测试工具，能较为全面的测试相关功能
进行TiDB的大版本升级，但不可避免的是后续还是会陆续出现类似问题，到时候还是会回到自己升级依赖的方案上
提交issue，等待新的小版本修复这些问题，但是上述依赖此前就已经存在，在发布中并未修复

想了解一下是否存在自动化测试工具，或者是否还有其他更好的方案？

呢莫不爱吃鱼 · 2024 年7 月 15 日 02:55

关注下，最近搞安全漏洞修复都快神经衰弱了

Inkjade · 2024 年7 月 15 日 03:03

这个应该是k8s tidb的operator 相关，依赖的第三方框架 etcd, prometheus，貌似和tidb关系不大

Billmay表妹 · 2024 年7 月 15 日 03:55

最新的是 1.6 的版本~

zhaokede · 2024 年7 月 15 日 04:11

关注一下

Jellybean · 2024 年7 月 15 日 04:37

这个问题可能得官方的老师来评估看看

EricSong · 2024 年7 月 15 日 05:39

Operator的1.6版本对应的是TiDB v8.0，我们想在v6.5的基础上进行修改，所以必须维持Operator在v1.4

xiabee · 2024 年7 月 15 日 06:24

感谢您最近提交的有关 TiDB、TiDB-Operator 和 PD 的漏洞报告。

相关漏洞我们进行过分析，确认报告中的漏洞在系统中没有实际利用点，不会对我们系统的实际安全构成威胁，均标记为误报。这些漏洞大部分来自第三方依赖组件，包括间接依赖。修复这些漏洞需要升级第三方依赖组件，会影响到系统兼容性，因此我们目前没有进行组件升级。

此外，一些组件是通过 commit 引入的，（例如“go.etcd.io/etcd-v0.5.0-alphaa.5.0.20240131130919-ff2304879e1b”，对应的实际版本为 “v3.4.30”），该版本为安全版本，相关漏洞为扫描器误报。

如果发现实际可利用的安全漏洞，欢迎联系安全团队。

TiDB_M · 2024 年7 月 15 日 06:43

我也想知道这类问题如何解决

Kongdom · 2024 年7 月 15 日 07:01

既然是误报，那有没有什么方式可以隐藏不被扫出来？

T02iDBer_7S8XqKfl · 2024 年7 月 15 日 07:41

需要官方给出解释了。

ShawnYan · 2024 年7 月 15 日 07:43

这漏扫也不专业啊，修复版本怎么能推荐beta版本呢

tony5413 · 2024 年7 月 15 日 08:08

是呀，该怎么办呢？

Kongdom · 2024 年7 月 15 日 08:09

我不造啊，我这不是在问官方嘛

我是人间不清醒 · 2024 年7 月 16 日 00:42

现在漏扫扫出来，就要修复。

TIDB-Learner · 2024 年7 月 17 日 00:25

安全问题

小于同学 · 2024 年7 月 17 日 01:31

升级版本

TiDBer_tvqzG8Dk · 2024 年8 月 18 日 01:19

关注一下