Apache SkyWalking 项目中关于CVE-2023-48795漏洞的技术分析

在Apache SkyWalking项目中，近期发现了一个与SSH协议相关的安全问题CVE-2023-48795。这个问题主要影响Binary Packet Protocol(BPP)协议，可能允许攻击者通过前缀截断攻击来破坏SSH连接的完整性。

该问题最初在扫描SkyWalking的OAP和UI组件时被发现。虽然SkyWalking的核心组件是基于Java开发的，但问题实际上来源于构建过程中使用的底层依赖项。具体来说，问题存在于两个不同的层面：

1. 在OAP组件中，扫描报告指出问题来自golang.org/x/crypto库的特定版本。虽然SkyWalking OAP本身是Java应用，但这一发现可能与其构建工具链或周边工具相关。

2. 在UI组件中，问题源自Ubuntu 22.04基础镜像中的libssh-4库版本。SkyWalking UI使用eclipse-temurin:11-jre作为基础镜像，而这个镜像又是基于ubuntu:22.04构建的。

技术团队经过深入调查后确认，核心的SkyWalking Java代码并不直接使用或依赖这些有问题的组件。真正的风险点在于构建环境和运行时环境中的底层依赖。

对于这个问题的解决方案，项目团队采取了多方面的措施：

1. 对于SkyWalking CLI工具(使用Go语言开发)中的相关依赖，团队已经发布了修复版本，升级了受影响的golang.org/x/crypto库。

2. 对于UI组件的基础镜像问题，团队评估后认为eclipse-temurin:11-jre镜像本身是安全的，没有高危或严重问题。这个基础镜像使用的OpenSSH 8.9版本已经包含了必要的安全修复。

3. 从下一个版本开始，项目将移除CLI工具，进一步减少潜在的安全风险。

对于使用SkyWalking的用户来说，建议采取以下措施：

1. 确保使用最新版本的SkyWalking组件，特别是包含安全修复的版本。

2. 如果特别关注此问题，可以考虑自行构建镜像，使用更新后的基础环境。

3. 定期进行安全扫描，及时发现并处理类似的安全问题。

这个案例也提醒我们，在现代软件开发中，即使核心代码本身没有安全问题，构建工具链和运行时环境中的依赖也可能引入潜在风险。因此，全面的安全防护需要覆盖整个软件供应链。