Comment Prisma Cloud Compute analyse les images à la recherche de vulnérabilités lors de l’installation par rapport à la mise à niveau des packages affectés ?

• Comment Prisma Cloud Compute analyse les images à la recherche de vulnérabilités lors de l’installation par rapport à la mise à niveau des packages affectés ?

• Prisma Cloud Calculer
   

• Par défaut, l’analyseur de vulnérabilités Compute analyse les images avec les conteneurs en cours d’exécution Prisma Cloud .
• Pour numériser toutes les images sur l’hôte, basculez le commutateur pour désactiver « Analyser uniquement les images avec des conteneurs en cours d’exécution » en naviguant pour surveiller > analyser > image en cours d’exécution > numériser > images en cours d’exécution. (Cette option s’applique à l’analyse du Registre ; toutes les images ciblées par votre règle d’analyse du Registre seront analysées, quelle que soit la façon dont Seules les images numérisées avec des conteneurs en cours d’exécution NOT sont définies. Reportez-vous à Paramètres d’analyse supplémentaires )
• L’analyseur de vulnérabilités identifiera toutes les vulnérabilités associées à tout package situé sur l’hôte.
• L’installation d’un package fixe spécifique n’installe pas/ne met pas à niveau le package source utilisé pour générer le package. Les paquets sources fournissent tous les fichiers nécessaires pour compiler ou créer le logiciel souhaité.
• Bien que le dernier package corrigé / corrigé de vulnérabilité soit installé, il peut avoir l’ancienne version vulnérable restante et l’analyseur de vulnérabilité le signale.
• Toutefois, la mise à niveau du package mettra à niveau le package réel et ses bibliothèques associées, y compris le package source. Ainsi, il y a moins de chances que des fichiers / binaires de version plus ancienne restent et ne soient pas vulnérables

Exemple : Installer

• L’installation de la version corrigée d’OpenSSL 1.1.1k-1+deb11u1 montre toujours l’image vulnérable car les informations du paquet ont le paquet source libssl avec l’ancienne version vulnérable 1.1.1k-1.
• L’installation du paquet OpenSSL n’installe pas / ne met pas à niveau le paquet source utilisé pour construire le paquet libssl1.1 - il installe un paquet « binaire » appelé openssl

root@138cc85d276c:/# apt-get install openssl
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Suggested packages:
  ca-certificates
The following NEW packages will be installed:
  openssl
0 upgraded, 1 newly installed, 0 to remove and 2 not upgraded.
Need to get 851 kB of archives.
After this operation, 1500 kB of additional disk space will be used.
Get:1 http://security.debian.org/debian-security stable-security/main amd64 openssl amd64 1.1.1k-1+deb11u1 [851 kB]
Fetched 851 kB in 0s (7950 kB/s) 
debconf: delaying package configuration, since apt-utils is not installed
Selecting previously unselected package openssl.
(Reading database ... 6653 files and directories currently installed.)
Preparing to unpack .../openssl_1.1.1k-1+deb11u1_amd64.deb ...
Unpacking openssl (1.1.1k-1+deb11u1) ...
Setting up openssl (1.1.1k-1+deb11u1) ...

• La mise à niveau du package spécifique mettra à niveau le package installé et le package source.

Exemple : mise à niveau

• La mise à niveau d’OpenSSL mettra à niveau OpenSSL et les bibliothèques associées. Cela corrige toutes les vulnérabilités.

root@df8442a38414:/# apt upgrade openssl
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
openssl is already the newest version (1.1.1k-1+deb11u1).
Calculating upgrade... Done
The following packages will be upgraded:
libssl1.1 tzdata
2 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
root@df8442a38414:/# apt list --installed | grep ssl
WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
libssl1.1/stable-security,now 1.1.1k-1+deb11u1 amd64 [installed,automatic]
openssl/stable-security,now 1.1.1k-1+deb11u1amd64 [installed] 

Conclusion :

• L’installation du package n’installe pas/ne met pas à niveau le package source. Il y a des chances que le paquet source soit toujours avec les versions vulnérables.
• La mise à niveau met à niveau le package de base et ses packages associés. Donc, cela corrige la vulnérabilité.

étude de cas:

• Vous trouverez ci-dessous deux vulnérabilités spécifiques signalées par Prisma Cloud Compute Vulnerability scanner pour la version OpenSSL 1.1.1k-1 fonctionnant sur le système d’exploitation Debian (la version stable-20210816 est utilisée pour simuler le problème) :

• OpenSSL version 1.1.1k-1deb11u-1 a corrigé ces CVE.
• Installez la version OpenSSL corrigée 1.1.1k-1deb11u-1. Mais Prisma a quand même rapporté ces CVE's.
• Toutefois, la mise à niveau d'OpenSSL vers la version 1.1.1k-1deb11u-1 ne signale pas ces CVE.

Explication:

• Par défaut, la Debian OS (version stable-20210816) est fournie avec le paquet source « libssl1.1 » version 1.1.1.k-1 lié à OpenSSL.
• L’installation du package OpenSSL n’installe pas/ne met pas à niveau le paquet source libssl1.1. Le paquet source libssl1.1 est toujours avec la version vulnérable 1.1.1.k-1.
• La mise à niveau met à niveau OpenSSL et son libssl associé vers la version corrigée 1.1.1k-1deb11u-1. Cela corrige donc les vulnérabilités connexes dans l’image.
• Passons en revue 3 scénarios différents pour comprendre la différence entre l'installation et la mise à niveau du package en détail.

Scénario 1 : Debian OS avec les paquets par défaut - L’image est vulnérable

• Debian avec le paquet source par défaut libssl1.1 version 1.1.1k-1.
• OpenSSL n’est pas installé.
• L'image est signalée vulnérable avec CVEdes pour libssl1.1
• Le Dockerfile est :

FROM debian:stable-20210816
RUN apt-get update -y

• L'image avec libssl1.1 version 1.1.1k-1 est vulnérable aux CVE.

Fig 1.1: Échec de l'état de l'


analyse (selon la règle configurée) car la couche d'image a critique et élevé Fig



1.2: Critique et élevé CVECVErapporté Fig 1.3: Informations sur le package avec la version vulnérable de libssl

Scénario 2 : version corrigée d’OpenSSL installée - L’image est vulnérable

• La Debian OS avec le paquet Source par défaut libssl1.1 version 1.1.1k-1
• Installez la version OpenSSL 1.1.1k-1deb11u-1 en attendant qu’elle corrige les vulnérabilités. Mais Prisma signale l'image comme vulnérable à CVE.
• Le Dockerfile est :

FROM debian:stable-20210816
RUN apt-get update -y
RUN apt-get install openssl

• Le fichier docker ci-dessus installe la version OpenSSL corrigée 1.1.1k-1deb11u-1.

Fig 2.1: Les informations sur le paquet montrent à la fois OpenSSL et les versions libssl

• Les rapports d’analyse comportent un onglet Informations sur le package, qui répertorie tous les packages installés dans une image ou un hôte. Il affiche également tous les packages actifs, qui sont des packages utilisés par les logiciels en cours d’exécution. Reportez-vous à la section Rapports d’analyse.
• Les informations sur le package confirment la version OpenSSL corrigée installée. Toutefois, il affiche également le paquet source libssl1.1. avec l’ancienne version vulnérable.
• Ainsi, Prisma signale l'image comme vulnérable à CVE.
• L’installation du paquet OpenSSL n’installe pas / ne met pas à niveau le paquet source utilisé pour construire le paquet libssl1.1 - il installe un paquet « binaire » également appelé OpenSSL
• Voir : Debian -- Détails du paquet openssl dans bullseye
• Lorsque vous installez apt OpenSSL (ou l’équivalent dpkg), il existe 2 paquets binaires différents.

root@df8442a38414:/# apt list --installed | GREP SSL

WARNING: APT n’a pas d’interface stable CLI . À utiliser avec prudence dans les scripts.

libssl1.1/stable,maintenant 1.1.1k-1 amd64 [installé,extensible vers: 1.1.1k-1+deb11u1]
openssl/stable-security,maintenant 1.1.1k-1+deb11u1 amd64 [installé]

• Prisma signale des vulnérabilités pour Debian par paquet source, et en effet il existe un paquet source, OpenSSL 1.1.1k-1 qui est la source de ce libssl1.1 et il est vulnérable.

Scénario 3 : Mise à niveau d’OpenSSL - L’image n’est pas vulnérable

• La Debian OS avec le paquet Source par défaut libssl1.1 version 1.1.1k-1
• Mettez à niveau OpenSSL. Il met à niveau le package complet, y compris les packages associés.
• Le fichier Docker est :

FROM debian:stable-20210816
RUN apt-get update -y apt-get upgrade openssl -y
RUN

• OpenSSL et libssl1.1 sont mis à niveau vers la version corrigée 1.1.1k-1+deb11u1

Fig 3.1: L’état de l’analyse est passé. La couche affiche la mise à niveau selon les commandes du fichier docker.


Fig 3.2: Les informations du paquet confirmant libssl et openssl ont été mises à niveau vers la dernière version.

• Lors de la mise à niveau, apt met à niveau le paquet source. Par conséquent, il met à jour le paquet binaire libssl1.1:

root@df8442a38414:/# apt upgrade openssl
Reading package lists... Terminé
Création de l’arbre de dépendances... Terminé
Lecture des informations d’état... Done
openssl est déjà la version la plus récente (1.1.1k-1+deb11u1).
Calcul de la mise à niveau... Terminé
Les paquets suivants seront mis à niveau :
libssl1.1 tzdata
2 mis à niveau, 0 nouvellement installé, 0 à supprimer et 0 non mis à niveau.

root@df8442a38414:/# apt list --installed | GREP SSL

WARNING: APT n’a pas d’interface stable CLI . À utiliser avec prudence dans les scripts. libssl1.1/stable-security,maintenant 1.1.1k-1+deb11u1 amd64 [installé,automatique]
openssl/stable-security,maintenant 1.1.1k-1+deb11u1 amd64 [installé]

• L'image n'est pas vulnérable au CVE

Conclusion :

• L’installation du package n’installe pas/ne met pas à niveau le package source.
• Il y a des chances que le package Source soit toujours avec les versions vulnérables.
• La mise à niveau met à niveau le package binaire et ses packages associés. Donc, cela corrige la vulnérabilité.