Azure Pipelines Agent 中 libcurl 安全问题分析与解决方案

背景介绍

在持续集成/持续部署(CI/CD)环境中，构建代理的安全性至关重要。近期在 Azure Pipelines Agent 项目中，发现了一个与 libcurl 库相关的安全问题。libcurl 是一个广泛使用的开源网络传输库，许多应用程序都依赖它来处理 HTTP、FTP 等协议的网络通信。

问题描述

在 Azure Pipelines Agent 3.232.1 版本中，其内置的 Git 组件(版本 2.39.1.windows.1)依赖的 libcurl 库版本为 7.87.0。这个版本存在多个已知的安全问题，包括但不限于：

• CVE-2023-27538：与 TLS 证书验证相关的安全问题
• CVE-2023-27535：涉及 HTTP 协议处理的安全问题
• CVE-2023-38545：与 SOCKS5 代理相关的安全问题
• CVE-2023-27536：影响特定网络条件下的安全问题

这些问题可能会被恶意利用，导致信息泄露、中间人攻击等安全风险。在安全扫描工具(如 Wiz)中，这些问题会被标记为高风险。

技术分析

Azure Pipelines Agent 是一个自托管代理，它包含了运行构建和部署所需的各种工具链。其中 Git 是核心组件之一，用于源代码管理操作。Git 本身依赖 libcurl 来处理与远程仓库的通信。

问题的根源在于：

1. 旧版 Git 捆绑了旧版 libcurl
2. 代理安装包将这些依赖项一并打包
3. 用户无法单独更新 libcurl，因为它是 Git 的紧密依赖

解决方案

微软团队已经通过以下方式解决了这个问题：

1. 升级了内置 Git 版本至 2.44.0.1 和 2.43.0.1
2. 新版 Git 使用了更安全的 libcurl 版本：
   • Git 2.44.0.1 使用 libcurl 8.6.0
   • Git 2.43.0.1 使用 libcurl 8.4.0
3. 这些新版本已经修复了之前报告的所有安全问题

用户操作建议

对于使用 Azure Pipelines Agent 的用户，建议采取以下措施：

1. 将代理升级到最新版本
2. 验证代理目录中的 libcurl 版本是否已更新
3. 定期检查代理组件的安全更新
4. 考虑设置自动更新机制，确保及时获取安全补丁

总结

软件供应链安全是现代 DevOps 实践中的重要环节。Azure Pipelines Agent 团队通过及时更新依赖组件，有效解决了 libcurl 相关的安全风险。这提醒我们，在 CI/CD 环境中，不仅要关注应用代码的安全，也要重视构建工具链的安全性。

对于企业用户来说，建立完善的软件资产清单和安全管理流程，能够帮助及时发现和修复这类底层组件的安全问题，确保整个软件交付管道的安全性。