Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2022年10月28日にMichael Clarkが投稿したブログ(https://sysdig.com/blog/openssl-3-vulnerability-container-images/)を元に日本語に翻訳・再構成した内容となっております。
今週のビッグニュースは、2022年11月1日に新たなCRITICALなOpenSSLの脆弱性が発表されることです。Critical-severity OpenSSLの脆弱性は毎日出てくるわけではなく、前回はCVE-2016-6309で、結局1つのバージョンにしか影響しませんでした。より有名な脆弱性は、Heartbleedと呼ばれるもので、2014年に登場しました。これはHeartbleedに近いものなのか、それとも2016年の脆弱性なのでしょうか?まもなく判明することでしょう。
唯一の具体的な情報は、新しい脆弱性はOpenSSLの3.0.xバージョンにのみ影響するということです。まだ1.1.1バージョンを実行している皆さんは、今回は安全なはずです。このことがわかれば、自分の環境にどのような影響があるのか、本当に見当がつきます。ISC Storm Centerは、一般的なLinuxディストリビューションと、デフォルトでインストールされているOpenSSLのバージョンに関するブログを投稿しました。
しかし、彼らのブログ記事は、最も一般的なコンテナ・ベース・イメージについてはカバーしていません。2022年のSysdig Cloud and Container Usage Reportによると、それらはRHEL、Alpine、Debianだそうです。私たちはDocker Hubからイメージを起動し、それらがデフォルトでOpenSSLを持っているかどうか、持っていない場合はパッケージマネージャからOpenSSLをインストールすると何が得られるかをチェックしました。また、よく使われるアプリケーションのイメージも確認しました。
イメージ名
デフォルトでインストールされているバージョン
パッケージマネージャのバージョン
rhel/ubi8N/A1.1.1kalpineN/A1.1.1qubuntu (22.04)N/A3.0.2debianN/A1.1.1nnginx1.1.1nN/Amysql1.1.1kN/Anodejs3.0.5 (static)N/AcentosN/A1.1.kamazonlinuxN/A1.0.2kpostgresN/A1.1.1nmongo1.1.1fN/AredisN/A1.1.1nrabbitmq1.1.1qN/A
OpenSSL の脆弱性についてのまとめ
良いニュースは、OSのコンテナイメージは、デフォルトでOpenSSLがインストールされていない傾向があることです。コンテナイメージを可能な限り最小化するのは良い形なので、これは驚くことではありません。デフォルトでインストールされるパッケージマネージャの多くも、OpenSSL 3.0.x を使っていません。アプリケーションイメージは、見ての通り、OpenSSL のバージョンがインストールされている可能性が非常に高いです。
また、アプリケーションとOpenSSLのバージョンによるバージョンドリフトも多く見られます
CVEについての詳細が出てきたら、適切な脆弱性管理プロセスに従うべきでしょう。この記事で、あなたのコンテナ環境にどのような影響があるか、ある程度ご理解いただけたかと思います。CVEに関する詳細が発表されたら、OpenSSLの脆弱性がどのように機能し、どのようなリスクをもたらすかについて、より詳細に説明した別の記事を公開する予定です。
脆弱性とは何かについてもっと知りたい方は、こちらをご覧ください。
[embed]https://youtu.be/CRDhTFpfDog[/embed]