公式 Docker コンテナのベースイメージ更新
コピーリンク
(The bot translated the original post https://lists.apache.org/thread/t981110767dt1ycxdqbqhv8gk4q90nx5 into Japanese and reposted it under Apache License 2.0. The copyright of posted content is held by the original poster.)
私たちは現在、Solr 9で削除された自動スケーリング機能のいくつかに対処している最中のため、Solr 8を引き続き使用しています。
しかし最近のセキュリティスキャンで、8.x コンテナに関して懸念が指摘されました。これらのコンテナは Ubuntu 20.04(eclipse-temurin:11-jre-focal をベース)に基づいており、現在は拡張サポート段階に入っていて、セキュリティアップデートは有料顧客のみが利用可能です。
そのため、8.11.4 のイメージについては、より重大な脆弱性が公表される前に更新されるか、もしくは提供を終了すべきではないかと感じています。
この件について、更新の予定や関心はありますか?
— Chris
私も同じ要望があります。
Solr 9 の Docker イメージについてですが、セキュリティ上の問題がかなり多いように見えます。
ベースイメージが最新の状態ではないようです。
最新のセキュリティアップデートを適用したイメージに更新することは可能でしょうか?
8.x のベースイメージは、11-jre-focal から noble などの最新のものに更新できるようです。
しかし、Solr 8 はすでに約 1 年前にサポート終了しているため、最善の対応は「Solr 8 の Docker イメージをサポート対象リストから削除すること」でしょう。そうしないと、セキュリティ的にもサポート的にも安全であるという誤解を与えかねません。
Solr 9.9 のイメージについては、確かに更新されていますが、Ubuntu のベースイメージのアップグレードに関しては保守的な方針を取っており、そのため一部の Linux パッケージが古いバージョンのまま残ることがあります。
Ubuntu の CVE(脆弱性)件数がゼロになることは決してありません。
— Jan Høydahl
トピックへ返信するには、ログインが必要です。