Apache SkyWalking 项目中关于CVE-2023-48795漏洞的技术分析

Apache SkyWalking作为一款优秀的应用性能监控系统，其安全性一直备受关注。近期在项目部署过程中发现了一个与SSH协议相关的安全问题CVE-2023-48795，本文将深入分析该问题的技术细节及其在SkyWalking项目中的影响。

问题背景

CVE-2023-48795是一个SSH协议中的前缀截断问题，影响Binary Packet Protocol(BPP)的实现。该问题允许攻击者通过精心构造的数据包，在特定条件下截断SSH通信内容，可能导致信息泄露或中间人攻击。问题评分为5.9分，属于中等风险级别。

问题在SkyWalking中的表现

在SkyWalking的部署环境中，安全扫描工具报告了两个组件存在此问题：

1. OAP服务器：扫描显示golang.org/x/crypto库的版本存在问题
2. UI组件：Ubuntu系统中的libssh-4库版本存在问题

值得注意的是，SkyWalking的核心组件主要基于Java技术栈，理论上不应直接受到Go语言库问题的影响。这表明问题可能出现在构建环境或依赖的底层系统组件中。

技术分析

经过项目维护团队的深入调查，发现问题的根源在于：

1. OAP服务器：虽然OAP本身是Java应用，但配套的CLI工具skywalking-cli使用了Go语言实现，其中引用了存在问题的golang.org/x/crypto库
2. UI组件：基于eclipse-temurin:11-jre镜像构建，该镜像底层使用Ubuntu 22.04系统，其默认的OpenSSH 8.9版本存在问题

解决方案

项目团队采取了以下措施解决该问题：

1. CLI工具更新：skywalking-cli项目已发布更新，移除了存在问题的依赖
2. 基础镜像升级：建议用户使用最新的eclipse-temurin:11-jre镜像，该镜像已修复相关安全问题

对于使用SkyWalking的用户，建议采取以下措施：

1. 更新到最新版本的SkyWalking发行版
2. 确保使用最新的基础镜像构建部署环境
3. 定期进行安全扫描，及时发现并修复潜在问题

总结

虽然CVE-2023-48795问题本身并不直接影响SkyWalking的核心功能，但作为分布式系统的重要组成部分，其安全性仍然不容忽视。通过这次事件，我们可以看到开源项目在安全方面的快速响应能力，也提醒我们在使用开源软件时需要关注其依赖组件的安全性。

SkyWalking团队将持续关注安全问题信息，并及时提供修复方案，确保用户能够安全可靠地使用该系统进行应用性能监控。