本文の内容は、2022年10月28日にMichael Clarkが投稿したブログ(https://sysdig.com/blog/openssl-3-vulnerability-container-images/)を元に日本語に翻訳・再構成した内容となっております。
今週のビッグニュースは、2022年11月1日に新たなCRITICALなOpenSSLの脆弱性が発表されることです。Critical-severity OpenSSLの脆弱性は毎日出てくるわけではなく、前回はCVE-2016-6309で、結局1つのバージョンにしか影響しませんでした。より有名な脆弱性は、Heartbleedと呼ばれるもので、2014年に登場しました。これはHeartbleedに近いものなのか、それとも2016年の脆弱性なのでしょうか?まもなく判明することでしょう。
唯一の具体的な情報は、新しい脆弱性はOpenSSLの3.0.xバージョンにのみ影響するということです。まだ1.1.1バージョンを実行している皆さんは、今回は安全なはずです。このことがわかれば、自分の環境にどのような影響があるのか、本当に見当がつきます。ISC Storm Centerは、一般的なLinuxディストリビューションと、デフォルトでインストールされているOpenSSLのバージョンに関するブログを投稿しました。
しかし、彼らのブログ記事は、最も一般的なコンテナ・ベース・イメージについてはカバーしていません。2022年のSysdig Cloud and Container Usage Reportによると、それらはRHEL、Alpine、Debianだそうです。私たちはDocker Hubからイメージを起動し、それらがデフォルトでOpenSSLを持っているかどうか、持っていない場合はパッケージマネージャからOpenSSLをインストールすると何が得られるかをチェックしました。また、よく使われるアプリケーションのイメージも確認しました。
| イメージ名 |
デフォルトでインストールされているバージョン |
パッケージマネージャのバージョン |
| rhel/ubi8 | N/A | 1.1.1k |
| alpine | N/A | 1.1.1q |
| ubuntu (22.04) | N/A | 3.0.2 |
| debian | N/A | 1.1.1n |
| nginx | 1.1.1n | N/A |
| mysql | 1.1.1k | N/A |
| nodejs | 3.0.5 (static) | N/A |
| centos | N/A | 1.1.k |
| amazonlinux | N/A | 1.0.2k |
| postgres | N/A | 1.1.1n |
| mongo | 1.1.1f | N/A |
| redis | N/A | 1.1.1n |
| rabbitmq | 1.1.1q | N/A |
OpenSSL の脆弱性についてのまとめ
良いニュースは、OSのコンテナイメージは、デフォルトでOpenSSLがインストールされていない傾向があることです。コンテナイメージを可能な限り最小化するのは良い形なので、これは驚くことではありません。デフォルトでインストールされるパッケージマネージャの多くも、OpenSSL 3.0.x を使っていません。アプリケーションイメージは、見ての通り、OpenSSL のバージョンがインストールされている可能性が非常に高いです。また、アプリケーションとOpenSSLのバージョンによるバージョンドリフトも多く見られます
CVEについての詳細が出てきたら、適切な脆弱性管理プロセスに従うべきでしょう。この記事で、あなたのコンテナ環境にどのような影響があるか、ある程度ご理解いただけたかと思います。CVEに関する詳細が発表されたら、OpenSSLの脆弱性がどのように機能し、どのようなリスクをもたらすかについて、より詳細に説明した別の記事を公開する予定です。
脆弱性とは何かについてもっと知りたい方は、こちらをご覧ください。