案例分析:
-
以下是报告的两个特定漏洞Prisma Cloud计算漏洞扫描器
OpenSSL 1.1.1k-1
运行版本
操作系统
(使用 stable-20210816 版本模拟问题):
CVE- 2021 - 3711
CVE - 2021 - 3712
注意:CVE在以下文件中指的是这 2CVE的
-
OpenSSL 版本 1.1.1k-1deb11u-1
有这些CVE固定的。
-
安装了固定的 OpenSSL 版本 1.1.1k-1deb11u-1。 但是 Prisma 还是报告了这些CVE的。
-
但是,将 OpenSSL 升级到版本 1.1.1k-1deb11u-1 不会报告这些CVE的。
-
默认情况下,DebianOS (版本 stable-20210816)附带
源码包“libssl1.1”版本1.1.1.k-1
与 OpenSSL 有关。
-
安装中
OpenSSL 包不安装/升级源包 libssl1.1。 源码包 libssl1.1 还在
易受伤害的
版本 1.1.1.k-1。
-
升级中
将 OpenSSL 及其关联的 libssl 升级到固定版本 1.1.1k-1deb11u-1。 所以这
修复
图像中的相关漏洞。
-
让我们通过 3 种不同的场景来详细了解安装和升级包之间的区别。
场景 1:DebianOS使用默认包 - 图像易受攻击
场景 2:已安装 OpenSSL 固定版本 - 图像存在漏洞
场景 3:升级 OpenSSL - 图像不易受攻击
场景 1:DebianOS使用默认包 - 图像易受攻击
-
Debian 默认源码包 libssl1.1 版本 1.1.1k-1。
-
未安装 OpenSSL。
-
该图像被报告易受攻击CVE用于 libssl1.1
-
Dockerfile 是:
FROM debian:stable-20210816
RUN易于获取更新-y
-
图像与
libssl1.1 版本 1.1.1k-1
是
易受伤害的
到CVE的。
图 1.1:扫描状态失败(根据配置的规则),因为图像层具有严重和高CVE的
图 1.2:临界和高CVE的报告
图 1.3:包含易受攻击的 libssl 版本的包信息
场景 2:已安装 OpenSSL 固定版本 - 图像存在漏洞
-
德比安OS使用默认源包 libssl1.1 版本 1.1.1k-1
-
安装了 OpenSSL 1.1.1k-1deb11u-1
期望它修复漏洞的版本。 但 Prisma 将图像报告为
易受伤害的
到CVE的。
-
Dockerfile 是:
FROM debian:stable-20210816
RUN易于获取更新-y
RUN apt-get 安装 openssl
-
上面的 docker 文件安装固定的 OpenSSL 版本 1.1.1k-1deb11u-1。
图 2.1:包信息显示了 OpenSSL 和 libssl 版本
-
扫描报告有一个包信息选项卡,其中列出了映像或主机中安装的所有包。 它还显示所有活动包,这些包是运行软件使用的包。 请参阅
扫描报告
.
-
包信息确认已安装的固定 OpenSSL 版本。 但是,它还显示了源包 libssl1.1。使用较旧的易受攻击版本。
-
因此,Prisma 将图像报告为
易受伤害的
到CVE的。
-
安装 OpenSSL 包不会安装/升级用于构建 libssl1.1 包的源包 - 它会安装一个也称为 OpenSSL 的“二进制”包
-
看:
Debian -- 在 bullseye 中的 openssl 软件包详细信息
-
在执行 apt install OpenSSL(或等效的 dpkg)时,有 2 个不同的二进制包。
root@df8442a38414:/# apt 列表 --installed | grep ssl
WARNING : apt 没有稳定的CLI界面。 在脚本中谨慎使用。
libssl1.1/stable,现在是 1.1.1k-1
amd64 [
已安装,可升级至:1.1.1k-1+deb11u1
]
openssl/稳定安全,现在 1.1.1k-1+deb11u1
amd64 [已安装]