vulnerability: Vulnerability in langfuse-worker 3.161.0 docker image – fails org compliance requirements

用户在使用 WIZ 或类似容器镜像安全扫描工具对 langfuse-worker 的 Docker 镜像(版本 3.161.0,基于 Alpine)进行合规扫描时失败。镜像无法通过组织的安全合规要求。

vulnerability: Vulnerability in langfuse-worker 3.161.0 docker image - fails org compliance requirements

vulnerability: Vulnerability in langfuse-worker 3.161.0 docker image – fails org compliance requirements

快速结论:该问题在安全合规扫描(如 WIZ 容器镜像扫描)langfuse-worker 3.161.0 Docker 镜像时触发,失败原因主要是 Alpine 基础镜像中的 busyboxssl_clientzlib 等系统包存在已知 CVE 漏洞。优先排查 Dockerfile 中 apk upgrade 列表是否包含了 zlib

问题场景

用户在使用 WIZ 或类似容器镜像安全扫描工具对 langfuse-worker 的 Docker 镜像(版本 3.161.0,基于 Alpine)进行合规扫描时失败。镜像无法通过组织的安全合规要求。

报错原文

Scanning Docker image docker.io/langfuse/langfuse-worker:3.161.0 wizcli-policy

WIZ_SCANNER : Docker image scan analysis ready

OS Package vulnerabilities:
    Name: busybox, Version: 1.37.0-r30
        CVE-2025-60876, Severity: MEDIUM, ...
    Name: busybox-binsh, Version: 1.37.0-r30
        CVE-2025-60876, Severity: MEDIUM, ...
    Name: ssl_client, Version: 1.37.0-r30
        CVE-2025-60876, Severity: MEDIUM, ...
    Name: zlib, Version: 1.3.1-r2
        Failed policy: container-image-acquire-wizcli-policy
        CVE-2026-22184, Severity: HIGH, ...
        CVE-2026-27171, Severity: MEDIUM, ...
            Fixed version: 1.3.2-r0

原因分析

核心原因是 langfuse-worker 依赖的 Alpine 基础镜像中部分系统包未升级到修复漏洞的版本。已知的 security patching pattern(Dockerfile 中的 apk upgrade 命令)虽然已涵盖了 libcrypto3libssl3libc6-compatbusyboxssl_client,但并未包含 zlib 包。因此 zlib 1.3.1-r2 版本中发现的 CVE-2026-22184(HIGH 严重性)和 CVE-2026-27171(MEDIUM 严重性)未被修复,导致合规扫描检查失败。扫描报告中 busybox 等包的 CVE-2025-60876 可能与 Alpine 官方源中对该漏洞的修复状态和扫描器的判定策略有关(可能存在公开利用)。该问题并非 langfuse-worker 应用代码导致,而是基础镜像层的包依赖问题。

环境排查

  • 镜像版本:docker.io/langfuse/langfuse-worker:3.161.0
  • 基础镜像类型:Alpine Linux
  • 安全扫描工具:WIZ CLI Policy Scanner(或类似兼容的容器安全扫描器)
  • 相关 CVE 列表:CVE-2025-60876(busybox, ssl_client)、CVE-2026-22184CVE-2026-27171(zlib)
  • 修复版本参考:zlib 的修复版本为 1.3.2-r0

解决步骤

  1. 官方优先修复路径(等待官方发布):Langfuse 团队已知晓该问题,可能会在后续版本中将 zlib 加入 Dockerfile 的漏洞修复命令中。关注官方发布日志,或直接升级至包含该修复的新版本。
  2. 本地构建镜像并临时代用:如果您需要立即通过合规扫描,可以从 Langfuse 源码 下载源代码,修改 worker/Dockerfile
  3. 修改 Dockerfile:找到 Dockerfile 中的 RUN apk update && apk upgrade 指令行,在包列表末尾增加 zlib。可优先尝试修改后的完整指令如下: 
    RUN apk update && apk upgrade --no-cache libcrypto3 libssl3 libc6-compat busybox ssl_client zlib
  4. 重新构建镜像:执行 docker build -t your-langfuse-worker-fixed .(假设在 worker/ 目录下)或根据项目构建流程执行。
  5. 替换并重新扫描:使用新构建的镜像替换之前的 langfuse-worker:3.161.0,再次运行 WIZ 扫描进行验证。

验证方法

使用相同的 WIZ 或合规扫描工具重新扫描本地构建的镜像,确认报告中不再出现 zlib 相关的 CVE-2026-22184CVE-2026-27171 以及 busybox/ssl_client 相关的 CVE-2025-60876 等漏洞。尤其注意 Failed policy 状态变为通过(Passed)。

参考来源

langfuse/langfuse #12721

Langfuse Worker Dockerfile – Security patching pattern(相关代码段)

Related discussion: Docker image vulnerabilities

Related issue: update dependencies to reduce CVEs

标签
celebrityanime
celebrityanime
文章: 9686

相关文章

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注