Wie Prisma Cloud scannt Compute Images auf Schwachstellen bei der Installation im Vergleich zum Upgrade betroffener Pakete?

• Wie Prisma Cloud scannt Compute Images auf Schwachstellen bei der Installation im Vergleich zum Upgrade betroffener Pakete?

• Prisma Cloud Berechnen
   

• Der Prisma Cloud Compute-Schwachstellenscanner scannt standardmäßig Images mit ausgeführten Containern.
• Um alle Images auf dem Host zu scannen, schalten Sie den Schalter um, um "Nur Images mit laufenden Containern scannen" zu deaktivieren, indem Sie zu Monitor > Scan > Running Image navigieren > > Running Images scannen. (Diese Option NOT gilt für Registrierungsscans; alle Images, auf die Ihre Registrierungsscanregel abzielt, werden gescannt, unabhängig davon, wie Nur Images mit ausgeführten Containern scannen festgelegt ist. Siehe Zusätzliche Scan-Einstellungen )
• Der Schwachstellen-Scanner identifiziert alle Schwachstellen, die mit einem Paket auf dem Host verbunden sind.
• Durch die Installation eines bestimmten korrigierten Pakets wird das Quellpaket, das zum Erstellen des Pakets verwendet wurde, nicht installiert/aktualisiert. Die Quellpakete enthalten alle notwendigen Dateien, um die gewünschte Software zu kompilieren oder zu erstellen.
• Obwohl das neueste/behobene Paket installiert ist, kann es sein, dass die ältere anfällige Version übrig geblieben ist und der Schwachstellen-Scanner dies meldet.
• Wenn Sie jedoch das Paket aktualisieren, werden das eigentliche Paket und die zugehörigen Bibliotheken, einschließlich des Quellpakets, aktualisiert. Daher ist die Wahrscheinlichkeit geringer, dass Dateien/Binärdateien älterer Versionen übrig bleiben und möglicherweise nicht anfällig sind

Beispiel: Installieren

• Die Installation der korrigierten OpenSSL-Version 1.1.1k-1+deb11u1 zeigt das Image immer noch angreifbar, da die Paketinformationen das libssl-Quellpaket mit der älteren anfälligen Version 1.1.1k-1 enthalten.
• Die Installation des OpenSSL-Pakets installiert/aktualisiert nicht das Quellpaket, das zum Erstellen des libssl1.1-Pakets verwendet wird - es installiert ein "binäres" Paket namens openssl

root@138cc85d276c:/# apt-get install openssl
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Suggested packages:
  ca-certificates
The following NEW packages will be installed:
  openssl
0 upgraded, 1 newly installed, 0 to remove and 2 not upgraded.
Need to get 851 kB of archives.
After this operation, 1500 kB of additional disk space will be used.
Get:1 http://security.debian.org/debian-security stable-security/main amd64 openssl amd64 1.1.1k-1+deb11u1 [851 kB]
Fetched 851 kB in 0s (7950 kB/s) 
debconf: delaying package configuration, since apt-utils is not installed
Selecting previously unselected package openssl.
(Reading database ... 6653 files and directories currently installed.)
Preparing to unpack .../openssl_1.1.1k-1+deb11u1_amd64.deb ...
Unpacking openssl (1.1.1k-1+deb11u1) ...
Setting up openssl (1.1.1k-1+deb11u1) ...

• Wenn Sie das spezifische Paket aktualisieren, werden das installierte Paket und das Quellpaket aktualisiert.

Beispiel: Upgrade

• Durch das Upgrade von OpenSSL werden OpenSSL und die zugehörigen Bibliotheken aktualisiert. Dadurch werden alle Sicherheitslücken behoben.

root@df8442a38414:/# apt upgrade openssl
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
openssl is already the newest version (1.1.1k-1+deb11u1).
Calculating upgrade... Done
The following packages will be upgraded:
libssl1.1 tzdata
2 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
root@df8442a38414:/# apt list --installed | grep ssl
WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
libssl1.1/stable-security,now 1.1.1k-1+deb11u1 amd64 [installed,automatic]
openssl/stable-security,now 1.1.1k-1+deb11u1amd64 [installed] 

Schlußfolgerung:

• Durch die Installation des Pakets wird das Quellpaket nicht installiert/aktualisiert. Es besteht die Möglichkeit, dass das Quellpaket immer noch mit den anfälligen Versionen enthalten ist.
• Durch ein Upgrade werden das Basispaket und die zugehörigen Pakete aktualisiert. Damit wird die Schwachstelle behoben.

Fallstudie:

• Im Folgenden sind zwei spezifische Sicherheitslücken aufgeführt, die vom Compute Vulnerability Scanner für die Version OpenSSL 1.1.1k-1 gemeldet wurden, die Prisma Cloud unter dem Debian-Betriebssystem ausgeführt wird (Version stable-20210816 wird verwendet, um das Problem zu simulieren):

• OpenSSL Version 1.1.1k-1deb11u-1 hat diese CVEbehoben.
• Die korrigierte OpenSSL-Version 1.1.1k-1deb11u-1 wurde installiert. Aber Prisma berichtete immer noch von diesen CVE's.
• Beim Upgrade von OpenSSL auf Version 1.1.1k-1deb11u-1 werden diese CVEFehler jedoch nicht gemeldet.

Erklärung:

• Standardmäßig wird Debian OS (Version stable-20210816) mit dem Quellpaket "libssl1.1" Version 1.1.1.k-1 ausgeliefert, das sich auf OpenSSL bezieht.
• Durch die Installation des OpenSSL-Pakets wird das Quellpaket libssl1.1 nicht installiert/aktualisiert. Das Quellpaket libssl1.1 befindet sich noch in der verwundbaren Version 1.1.1.k-1.
• Durch ein Upgrade wird OpenSSL und die zugehörige libssl auf die korrigierte Version 1.1.1k-1deb11u-1 aktualisiert. Dadurch werden verwandte Schwachstellen im Image behoben.
• Lassen Sie uns 3 verschiedene Szenarien durchgehen, um den Unterschied zwischen der Installation und dem Upgrade des Pakets im Detail zu verstehen.

Szenario 1: Debian OS mit Standardpaketen - Image ist verwundbar

• Debian mit dem Standard-Quellpaket libssl1.1 Version 1.1.1k-1.
• OpenSSL ist nicht installiert.
• Das Image wird mit CVE's für libssl1.1 als verwundbar gemeldet
• Das Dockerfile ist:

FROM debian:stable-20210816
RUN apt-get update -y

• Das Image mit libssl1.1 Version 1.1.1k-1 ist anfällig für ' CVEs.

Abb. 1.1: Scan-Status fehlgeschlagen (gemäß der konfigurierten Regel), da die Bildebene kritisch &; hoch ist Abb



. 1.2: Kritisch und hoch CVECVEgemeldet


Abb. 1.3: Paketinformationen mit der verwundbaren libssl-Version

Szenario 2: Installierte korrigierte OpenSSL-Version - Image ist anfällig

• Das Debian OS mit dem Standard-Quellpaket libssl1.1 Version 1.1.1k-1
• Die Version OpenSSL 1.1.1k-1deb11u-1 wurde installiert, in der Erwartung, dass sie die Sicherheitslücken behebt. Prisma meldet jedoch, dass das Bild anfällig für CVE's ist.
• Das Dockerfile ist:

FROM debian:stable-20210816
RUN apt-get update -y
RUN apt-get install openssl

• Die obige Docker-Datei installiert die korrigierte OpenSSL-Version 1.1.1k-1deb11u-1.

Abb. 2.1: Die Paketinformationen zeigen sowohl die OpenSSL- als auch die libssl-Version an

• Scan-Berichte verfügen über eine Registerkarte "Paketinformationen", auf der alle Pakete aufgelistet sind, die in einem Image oder Host installiert sind. Es zeigt auch alle aktiven Pakete an, d. h. Pakete, die von laufender Software verwendet werden. Weitere Informationen finden Sie unter Scan-Berichte.
• Die Paketinformationen bestätigen die installierte korrigierte OpenSSL-Version. Es zeigt jedoch auch das Quellpaket libssl1.1 an. mit der älteren, anfälligen Version.
• Daher meldet Prisma das Bild als anfällig für CVE's.
• Die Installation des OpenSSL-Pakets installiert/aktualisiert nicht das Quellpaket, das zum Erstellen des libssl1.1-Pakets verwendet wird - es installiert ein "binäres" Paket, das auch OpenSSL genannt wird
• Siehe: Debian -- Details des Pakets openssl in Bullseye
• Wenn Sie apt install OpenSSL (oder das dpkg-Äquivalent) ausführen, gibt es 2 verschiedene Binärpakete.

root@df8442a38414:/# apt list --installed | grep ssl

WARNING: apt hat keine stabile CLI Schnittstelle. In Skripten mit Vorsicht verwenden.

libssl1.1/stable,jetzt 1.1.1k-1 amd64 [installiert,aktualisierbar auf: 1.1.1k-1+deb11u1]
openssl/stable-security,jetzt 1.1.1k-1+deb11u1 amd64 [installiert]

• Prisma meldet Verwundbarkeiten für Debian pro Quellpaket, und tatsächlich gibt es ein Quellpaket, OpenSSL 1.1.1k-1, das die Quelle dieses libssl1.1 ist und verwundbar ist.

Szenario 3: Upgrade des OpenSSL - Image ist nicht anfällig

• Das Debian OS mit dem Standard-Quellpaket libssl1.1 Version 1.1.1k-1
• Aktualisieren Sie OpenSSL. Es aktualisiert das komplette Paket, einschließlich der zugehörigen Pakete.
• Die Docker-Datei lautet:

FROM debian:stable-20210816
RUN apt-get update -y apt-get upgrade openssl -y
RUN

• Sowohl OpenSSL als auch libssl1.1 wurden auf die korrigierte Version 1.1.1k-1+deb11u1 aktualisiert

Abb. 3.1: Scan-Status wird übergeben. Die Ebene zeigt das Upgrade gemäß den Befehlen aus der Docker-Datei.


Abb. 3.2: Die Paketinformationen, die bestätigen, dass sowohl libssl als auch openssl auf die neueste Version aktualisiert wurden.

• Beim Upgrade aktualisiert apt das Quellpaket. Daher aktualisiert es das Binärpaket libssl1.1:

root@df8442a38414:/# apt upgrade openssl
Paketlisten lesen... Fertig
Abhängigkeitsbaum erstellen... Fertig
Zustandsinformationen lesen... Fertig
openssl ist bereits die neueste Version (1.1.1k-1+deb11u1).
Berechnen des Upgrades... Fertig
Die folgenden Pakete werden aktualisiert:
libssl1.1 tzdata
2 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.

root@df8442a38414:/# apt list --installed | grep ssl

WARNING: apt hat keine stabile CLI Schnittstelle. In Skripten mit Vorsicht verwenden.

libssl1.1/stable-security,jetzt 1.1.1k-1+deb11u1 amd64 [installiert,automatisch]
openssl/stable-security,jetzt 1.1.1k-1+deb11u1 amd64 [installiert]

• Das Bild ist nicht anfällig für die CVE's

Schlußfolgerung:

• Durch die Installation des Pakets wird das Quellpaket nicht installiert/aktualisiert.
• Es besteht die Möglichkeit, dass das Quellpaket noch mit den anfälligen Versionen enthalten ist.
• Durch ein Upgrade werden das Binärpaket und die zugehörigen Pakete aktualisiert. Damit wird die Schwachstelle behoben.