fix: remove all headers and unnecessary packages (#837)

Proximyst · web-flow · commit 95bca7253185 · 2025-10-30T10:41:26.000+01:00
diff --git a/CHANGELOG.md b/CHANGELOG.md
@@ -3,6 +3,7 @@
 - fix: remove linux-libc-dev (CVE-2004-0230, CVE-2005-3660, CVE-2007-3719, CVE-2008-2544, CVE-2008-4609, CVE-2010-4563, CVE-2010-5321, CVE-2011-4915, CVE-2011-4916, CVE-2011-4917, CVE-2012-4542, CVE-2013-7445, CVE-2014-9892, CVE-2014-9900, CVE-2015-2877, CVE-2016-10723, CVE-2016-8660, CVE-2017-0630, CVE-2017-13693, CVE-2017-13694, CVE-2018-1121, CVE-2018-12928, CVE-2018-17977, CVE-2019-11191, CVE-2019-12378, CVE-2019-12379, CVE-2019-12380, CVE-2019-12381, CVE-2019-12382, CVE-2019-12455, CVE-2019-12456, CVE-2019-15213, CVE-2019-16089, CVE-2019-16229, CVE-2019-16230, CVE-2019-16231, CVE-2019-16232, CVE-2019-16233, CVE-2019-16234, CVE-2019-19070, CVE-2019-19378, CVE-2019-19449, CVE-2019-19814, CVE-2019-20794, CVE-2020-11725, CVE-2020-14304, CVE-2020-35501, CVE-2020-36694, CVE-2021-26934, CVE-2021-3714, CVE-2021-3847, CVE-2021-3864, CVE-2021-47658, CVE-2022-0400, CVE-2022-1247, CVE-2022-25265, CVE-2022-2961, CVE-2022-3238, CVE-2022-41848, CVE-2022-44032, CVE-2022-44033, CVE-2022-4543, CVE-2022-45884, CVE-2022-45885, CVE-2023-23039, CVE-2023-26242, CVE-2023-31081, CVE-2023-31082, CVE-2023-31085, CVE-2023-3397, CVE-2023-3640, CVE-2023-37454, CVE-2023-4010, CVE-2023-6238, CVE-2023-6240, CVE-2024-0564, CVE-2024-21803, CVE-2024-2193, CVE-2024-24864, CVE-2024-25740, CVE-2024-52560, CVE-2024-56709, CVE-2024-57995, CVE-2024-58015, CVE-2024-58022, CVE-2024-58074, CVE-2024-58093, CVE-2024-58094, CVE-2024-58095, CVE-2024-58096, CVE-2024-58097, CVE-2025-21709, CVE-2025-21752, CVE-2025-21807, CVE-2025-21833, CVE-2025-21949, CVE-2025-22031, CVE-2025-22051, CVE-2025-22052, CVE-2025-22061, CVE-2025-22069, CVE-2025-22092, CVE-2025-22094, CVE-2025-22096, CVE-2025-22098, CVE-2025-22099, CVE-2025-22100, CVE-2025-22104, CVE-2025-22105, CVE-2025-22106, CVE-2025-22107, CVE-2025-22108, CVE-2025-22109, CVE-2025-22110, CVE-2025-22111, CVE-2025-22114, CVE-2025-22116, CVE-2025-22117, CVE-2025-22118, CVE-2025-22121, CVE-2025-22127, CVE-2025-23129, CVE-2025-23130, CVE-2025-23131, CVE-2025-23132, CVE-2025-23135, CVE-2025-37743, CVE-2025-37746, CVE-2025-37825, CVE-2025-37860, CVE-2025-37880, CVE-2025-37906, CVE-2025-37966, CVE-2025-38029, CVE-2025-38036, CVE-2025-38041, CVE-2025-38042, CVE-2025-38064, CVE-2025-38105, CVE-2025-38132, CVE-2025-38137, CVE-2025-38140, CVE-2025-38187, CVE-2025-38199, CVE-2025-38205, CVE-2025-38207, CVE-2025-38234, CVE-2025-38237, CVE-2025-38248, CVE-2025-38261, CVE-2025-38284, CVE-2025-38311, CVE-2025-38322, CVE-2025-38359, CVE-2025-38421, CVE-2025-38426, CVE-2025-38584, CVE-2025-38591, CVE-2025-38597, CVE-2025-38605, CVE-2025-38621, CVE-2025-38627, CVE-2025-38636, CVE-2025-38643, CVE-2025-38678, CVE-2025-39677, CVE-2025-39678, CVE-2025-39745, CVE-2025-39762, CVE-2025-39764, CVE-2025-39775, CVE-2025-39789, CVE-2025-39816, CVE-2025-39822, CVE-2025-39830, CVE-2025-39833, CVE-2025-39834, CVE-2025-39859, CVE-2025-39862, CVE-2025-39905, CVE-2025-39910, CVE-2025-39925, CVE-2025-39929, CVE-2025-39931, CVE-2025-39932, CVE-2025-39933, CVE-2025-39934, CVE-2025-39937, CVE-2025-39938, CVE-2025-39940, CVE-2025-39942, CVE-2025-39943, CVE-2025-39944, CVE-2025-39945, CVE-2025-39946, CVE-2025-39947, CVE-2025-39948, CVE-2025-39949, CVE-2025-39950, CVE-2025-39951, CVE-2025-39952, CVE-2025-39953, CVE-2025-39955, CVE-2025-39956, CVE-2025-39957, CVE-2025-39958, CVE-2025-39961, CVE-2025-39963, CVE-2025-39964, CVE-2025-39965, CVE-2025-39966, CVE-2025-39967, CVE-2025-39968, CVE-2025-39969, CVE-2025-39970, CVE-2025-39971, CVE-2025-39972, CVE-2025-39973, CVE-2025-39975, CVE-2025-39977, CVE-2025-39978, CVE-2025-39980, CVE-2025-39981, CVE-2025-39982, CVE-2025-39984, CVE-2025-39985, CVE-2025-39986, CVE-2025-39987, CVE-2025-39988, CVE-2025-39990, CVE-2025-39991, CVE-2025-39992, CVE-2025-39993, CVE-2025-39994, CVE-2025-39995, CVE-2025-39996, CVE-2025-39997, CVE-2025-39998, CVE-2025-40000, CVE-2025-40001, CVE-2025-40003, CVE-2025-40004, CVE-2025-40005, CVE-2025-40006, CVE-2025-40008, CVE-2025-40009, CVE-2025-40010, CVE-2025-40011, CVE-2025-40012, CVE-2025-40013, CVE-2025-40014, CVE-2025-40016, CVE-2025-40018, CVE-2025-40019, CVE-2025-40020, CVE-2025-40021, CVE-2025-40022, CVE-2025-40024, CVE-2025-40025, CVE-2025-40026, CVE-2025-40027, CVE-2025-40028, CVE-2025-40029, CVE-2025-40030, CVE-2025-40031, CVE-2025-40032, CVE-2025-40033, CVE-2025-40035, CVE-2025-40036, CVE-2025-40037, CVE-2025-40038, CVE-2025-40039, CVE-2025-40040, CVE-2025-40042, CVE-2025-40043, CVE-2025-40044, CVE-2025-40045, CVE-2025-40047, CVE-2025-40048, CVE-2025-40049, CVE-2025-40051, CVE-2025-40052, CVE-2025-40053, CVE-2025-40054, CVE-2025-40055, CVE-2025-40056, CVE-2025-40057, CVE-2025-40058, CVE-2025-40059, CVE-2025-40060, CVE-2025-40061, CVE-2025-40062, CVE-2025-40064, CVE-2025-40065, CVE-2025-40067, CVE-2025-40068, CVE-2025-40070, CVE-2025-40071, CVE-2025-40074, CVE-2025-40075, CVE-2025-40077, CVE-2025-40078, CVE-2025-40079, CVE-2025-40080, CVE-2025-40081, CVE-2025-40082, CVE-2025-40083, CVE-2025-40084, CVE-2025-40085, CVE-2025-40325), [#836](https://github.com/grafana/grafana-image-renderer/pull/836), [Proximyst](https://github.com/Proximyst)
   - This only removes the headers. The CVEs are not actually exploitable in the image.
   - This work is done to clean up CVE results in tools like Trivy and Grype, that scan vulnerabilities in images.
+- fix: remove all unnecessary headers and unnecessary packages (CVE-2017-13716, CVE-2018-20673, CVE-2018-20712, CVE-2018-9996, CVE-2020-36325, CVE-2021-32256, CVE-2025-11081, CVE-2025-11082, CVE-2025-11083, CVE-2025-11411, CVE-2025-11412, CVE-2025-11413, CVE-2025-11414, CVE-2025-1147, CVE-2025-1148, CVE-2025-1149, CVE-2025-11494, CVE-2025-11495, CVE-2025-1150, CVE-2025-1151, CVE-2025-1152, CVE-2025-1153, CVE-2025-1176, CVE-2025-1178, CVE-2025-1180, CVE-2025-1181, CVE-2025-1182, CVE-2025-11839, CVE-2025-11840, CVE-2025-3198, CVE-2025-5244, CVE-2025-5245, CVE-2025-7545, CVE-2025-7546, CVE-2025-8225), [#837](https://github.com/grafana/grafana-image-renderer/pull/837), [Proximyst](https://github.com/Proximyst)
 
 ## 4.1.3 (2025-10-29)
 
diff --git a/Dockerfile b/Dockerfile
@@ -25,7 +25,9 @@ RUN apt-get satisfy -y --no-install-recommends --no-install-suggests \
   "chromium (>=${CHROMIUM_VERSION}), chromium-driver (>=${CHROMIUM_VERSION}), chromium-shell (>=${CHROMIUM_VERSION}), chromium-sandbox (>=${CHROMIUM_VERSION})"
 
 # There is no point to us shipping headers.
-RUN apt-get remove -y linux-libc-dev
+RUN dpkg -l | grep -E -- '-dev|-headers' | awk '{ print $2; }' | xargs apt-get remove -y
+# Do a final automatic clean-up.
+RUN apt-get autoremove -y
 
 RUN apt-get clean && rm -rf /var/lib/apt/lists/*
 
diff --git a/go.Dockerfile b/go.Dockerfile
@@ -34,7 +34,9 @@ RUN apt-get satisfy -y --no-install-recommends --no-install-suggests \
   "chromium (>=${CHROMIUM_VERSION}), chromium-driver (>=${CHROMIUM_VERSION}), chromium-shell (>=${CHROMIUM_VERSION}), chromium-sandbox (>=${CHROMIUM_VERSION})"
 
 # There is no point to us shipping headers.
-RUN apt-get remove -y linux-libc-dev
+RUN dpkg -l | grep -E -- '-dev|-headers' | awk '{ print $2; }' | xargs apt-get remove -y
+# Do a final automatic clean-up.
+RUN apt-get autoremove -y
 
 RUN apt-get clean && rm -rf /var/lib/apt/lists/*
 
