Вопрос или проблема
Недавно мы провели сканирование уязвимостей на базе Ubuntu 22.04, используя инструмент syft, и были удивлены результатами.
Сначала мы думали, что это ложное срабатывание инструмента syft, но после повторной проверки обнаружили, что действительно имеются некоторые подозрительные элементы.
Компонент Установленная версия Проблемы безопасности
| Компонент | Установленная версия | Проблемы безопасности/CVE | Оценка CVSS | Серьезность CVSS |
|---|---|---|---|---|
| gnupg | 2.2.27 | CVE-2022-3515 | 9.8 | Критическая |
https://changelogs.ubuntu.com/changelogs/pool/main/g/gnupg2/gnupg2_2.2.27-3ubuntu2.1/changelog
Результаты показывают, что уязвимости, такие как CVE-2022-3515, все еще присутствуют в последних выпусках Ubuntu 22.04.
Возьмем для примера CVE-2022-3515.
Мой вопрос касается правильной версии библиотеки Libksba.
Некоторая интересная информация об этом CVE.
[информация из NVD]
на странице: https://nvd.nist.gov/vuln/detail/CVE-2022-3515
можно получить информацию, что если версия libksba <1.6.3, то проблема все еще существует.
[информация от gnupg]
на этой государственной странице gnupg https://www.gnupg.org/blog/20221017-pepe-left-the-ksba.html
“Подвержены нашей информации:
Большинство программного обеспечения, использующего версии Libksba до 1.6.2
Как исправить
Если вы находитесь на Unix или Linux системе, вам следует получить последнюю версию Libksba (1.6.3 или более новую),
”
[информация с государственной страницы Ubuntu]
https://ubuntu.com/security/CVE-2022-3515
проблема исправлена в **1.6.0**
libksba8_1.6.0-2ubuntu0.2_amd64.deb Ubuntu 22.04 LTS Скачать
[информация с нашего локального Ubuntu]
Результаты cat /etc/os-release:
PRETTY_NAME="Ubuntu 22.04.5 LTS"
NAME="Ubuntu"
VERSION_ID="22.04"
VERSION="22.04.5 LTS (Jammy Jellyfish)"
VERSION_CODENAME=jammy
ID=ubuntu
ID_LIKE=debian
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
UBUNTU_CODENAME=jammy
Результаты dpkg -l gnupg :
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-=================-============-==========================================
ii gnupg 2.2.27-3ubuntu2.1 all GNU privacy guard - a free PGP replacement
Результаты dpkg -l libksb :
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-================-============-=================================
ii libksba8:amd64 1.6.0-2ubuntu0.2 amd64 X.509 and CMS support library
Результаты gpgconf --show-versions :
* GnuPG 2.2.27 (0000000)
GNU/Linux
* Libgcrypt 1.9.4 (0000000)
version:1.9.4:10904:1.43:12b00:
cc:110200:gcc:11.2.0:
ciphers:arcfour:blowfish:cast5:des:aes:twofish:serpent:rfc2268:seed:camellia:idea:salsa20:gost28147:chacha20:sm4:
pubkeys:dsa:elgamal:rsa:ecc:
digests:crc:gostr3411-94::md4:md5:rmd160:sha1:sha256:sha512:sha3:tiger:whirlpool:stribog:blake2:sm3:
rnd-mod:linux:
cpu-arch:x86:
mpi-asm:amd64/mpih-add1.S:amd64/mpih-sub1.S:amd64/mpih-mul1.S:amd64/mpih-mul2.S:amd64/mpih-mul3.S:amd64/mpih-lshift.S:amd64/mpih-rshift.S:
hwflist:intel-bmi2:intel-ssse3:intel-sse4.1:intel-pclmul:intel-aesni:intel-rdrand:intel-avx:intel-avx2:intel-rdtsc:intel-shaext:intel-vaes-vpclmul:
fips-mode:n:n:
rng-type:standard:1:2010000:1:
compliance:::
* GpgRT 1.43 (000033f)
* Libassuan 2.5.5 (0000000)
* KSBA 1.6.0-unknown (0000000)
* GNUTLS 3.7.3
Ответ или решение
Ваша ситуация с уязвимостью CVE-2022-3515 в Ubuntu 22.04.5 LTS удовлетворяет классической схеме проблемы с зависимостями в ОС. Этот сценарий часто складывается, когда одна программная компонента зависит от другой, и обновление одной из них может потребовать обновления всех связанных компонентов для устранения уязвимости. Давайте разберемся в деталях.
Теория (Theory)
Уязвимость CVE-2022-3515 связана с пакетом Libksba версий ниже 1.6.3. Libksba — это библиотека, используемая для поддержки X.509 и CMS, критически важных для криптографических операций. Уязвимости в этой библиотеке могут открыть доступ злоумышленникам для подделки или кражи данных, использующих шифрование.
CVSS (Common Vulnerability Scoring System) оценка этой уязвимости составляет 9.8, что указывает на критический уровень угрозы. Это подразумевает, что уязвимость легко эксплуатируется и может привести к значительным последствиям для безопасности системы.
Пример (Example)
Ваш конкретный сценарий выглядит следующим образом: вы провели сканирование на уязвимости с помощью инструмента syft и обнаружили, что текущая версия Libksba в вашей системе установлена как 1.6.0, что теоретически уязвимо относительно CVE-2022-3515. Хотя официальные источники утверждают, что проблема была исправлена в версии 1.6.0, практика показывает, что для полного устранения данной уязвимости предпочтительна версия 1.6.3 или новее.
Применение (Application)
-
Проверка версии Libksba: Для начала, убедитесь, что установлена самая последняя версия Libksba. Это можно сделать с помощью команды
dpkg -l | grep libksba, которая уже показывает установленную у вас версию 1.6.0. Проверьте наличие более новой версии с помощьюapt-cache policy libksba8. -
Установите исправления безопасности: В Ubuntu репозиториях возможны случаи, когда новые версии пакетов предлагаются лишь в новых релизах или через PPA (Personal Package Archive). Зафиксируйте, выпущены ли версии с исправлениями, или необходимо установить PPA для получения безопасной версии библиотеки.
-
Переход на более безопасный дистрибутив: Если обновление не представляется возможным, рассмотрите использование другого дистрибутива Linux, например, Arch Linux или Fedora, где зависимости могут быть обновлены быстрее. Этот вариант более радикален, но может быть оправдан для критически важных систем.
-
Дополнительные меры безопасности: Если невозможна немедленная установка необходимых обновлений, используйте firewall и другие средства защиты для уменьшения риска эксплуатации уязвимости. Обязательно следите за потенциальным IP- и сетевым трафиком, который может быть целевым.
-
Связь с сообществом Ubuntu: Вы можете оставить отзыв в Launchpad или других ресурсах, связанных с Ubuntu, чтобы разработчики могли оперативно реагировать и выпускать обновления для устранения подобных уязвимостей.
Рассмотрение таких шагов и корректировка вашей системы согласно описанным принципам может значительно повысить её безопасность. Важно регулярно обновлять вашу ОС и связанные с ней компоненты, чтобы поддерживать актуальный уровень защиты. Надеюсь, эти рекомендации помогут вам благополучно разрешить возникшую ситуацию и усилить безопасность вашей системы.