Apache SkyWalking 项目中关于 CVE-2023-48795 漏洞的分析与修复

Apache SkyWalking 是一款优秀的应用性能监控系统，近期在其容器化部署方案中发现了一个与 SSH 协议相关的安全问题 CVE-2023-48795。该问题主要影响基于容器部署的 SkyWalking 组件，特别是 OAP 服务器和 UI 界面。

CVE-2023-48795 是一个中等严重程度的安全问题，CVSS 评分为 5.9。该问题存在于 SSH 协议的二进制数据包协议(BPP)中，可能被利用前缀截断方式实施攻击。这种攻击方式可能导致 SSH 连接的安全性被破坏，虽然实际风险取决于具体的使用场景。

在 SkyWalking 的容器化部署中，这个问题主要来源于两个方面：

1. 基础镜像中的 OpenSSH 组件：SkyWalking 的 Docker 镜像基于 eclipse-temurin:11-jre，而该镜像又构建于 ubuntu:22.04 之上。Ubuntu 22.04 默认使用 OpenSSH 8.9 版本，这个版本存在该问题。

2. SkyWalking CLI 工具：项目中的命令行工具使用了存在问题的 golang.org/x/crypto 库版本。

项目维护团队迅速响应了这个问题，并采取了以下修复措施：

1. 对于 CLI 工具部分，团队已经提交了修复补丁，更新了依赖库版本，移除了存在问题的组件。

2. 对于基础镜像问题，团队确认 eclipse-temurin:11-jre 官方镜像已经解决了相关安全问题，建议用户使用最新版本的基础镜像重新构建容器。

对于使用 SkyWalking 的用户，建议采取以下措施：

1. 更新到最新版本的 SkyWalking 容器镜像
2. 如果使用自定义构建，确保基于最新的 eclipse-temurin:11-jre 基础镜像
3. 关注官方发布的安全公告，及时应用安全补丁

值得注意的是，虽然这个问题被标记为中等风险，但实际影响取决于具体部署环境。在大多数 SkyWalking 部署场景中，SSH 功能可能并非核心组件，因此实际风险可能较低。不过出于安全最佳实践考虑，仍然建议用户及时更新。

这个案例也提醒我们，在现代云原生环境中，即使是纯 Java 应用也可能因为容器基础镜像或辅助工具而引入安全问题，需要全面考虑整个技术栈的安全性。