OpenJDK Docker 镜像存在错误版本漏洞

OpenJDK 邮件列表在五月确认， OpenJDK 的官方 Docker 镜像 中包含 错误标记版本号 ，这表明部分 JRE 应包含的安全补丁实际上并不存在。该问题已经通过 OpenJDK 和 Debian 间的跨社区协作 得以解决 。

该“官方”版本是由 Docker 和其他方制作的，因为 OpenJDK 社区没有创建镜像或生成构建。在 GitHub issue 320 中，充分讨论了该镜像构建是由谁创建的、该“官方”镜像的意义、参与镜像的各方包括谁等问题。该 Docker 镜像已被下载超过一千万次。

问题的核心与构建开发层的检查时间和使用时间相关。该版本于 2019 年 3 月 27 日生成，并标记版本号为 8u212 和 11.0.3。其中的安全补丁直到 2019 年 4 月 16 日才发布。按 Azul 首席技术官 Gil Tene 的说法，“按一些人的说法，这些累积起来的’合理’选择最终导致数百万人在 Docker 上运行的默认 OpenJDK 事实上完全是块‘神秘之肉’（mystery meat），并不完整的、暴露的构建，虽然看起来似乎推荐的是 8u212 或 11.0.3 的一个 Java 版本”。Tene 最早在 OpenJDK 邮件列表上报告了这个问题。 “神秘之肉”（mystery meat）一词是指难以确定来源的标签项。该术语并不意味着内容不安全，只是表示它们不为人知。

InfoQ 与 jClarity 首席执行官兼伦敦 JUG 联合牵头人 Martijn Verburg 探讨了这个问题。这次混乱源自版本控制系统中最近引入的标签，其中添加了后缀“-ga”。该标签向 Debian 志愿者维护者等第三方标明了构建应何时提供 GA 版。该标记晚于各 JVM 供应商的“开放获取时滞期”（embargo period）之后应用，以确保以安全的方式将安全更新分发给所有 JVM 提供商。如果没有开放获取时滞期，那么黑客会定期 反编译安全补丁，找出可攻击的位置 ，然后利用该 工具 包攻击尚未修补漏洞的版本。Debian 项目提供了超过 51,000 个 Linux 软件包，难以合理地参与每个项目去理解版本的复杂性。这包括 OpenJDK，其中“-ga”标记是 JDK 7 和 JDK 8 的新版本和以前版本之间跳过的数字。

Docker 镜像中的该版本号表明应该包含 CVE-2019-2602 和 CVE-2019-2684 补丁，但实际并未包含。在镜像发布过程中， 至少给出了六个应该加入 Docker 镜像的安全补丁 。 版本不匹配可能会增加下游 软件组合分析（Software Composition Analysis）工具 的复杂性，这些分析工具根据版本分析软件的补丁情况。它们帮助组织识别哪里具有已知 CVE 的过期软件，以便组织做出适当的修补或降低风险。许多工具根据该版本号，错误地确定这些 JRE 不易受到攻击。由于许多 Java 供应商每季度发布一次安全补丁，因此开放获取时滞期可能会很短。例如，Oracle 计划下一次重要补丁更新将在 2019 年 7 月 16 日推出。那时，目前的 Java 版本号将被视为不安全，由新的安全基线取而代之。

该问题已由 Apache 软件基金会的 Emanuel Bourg 完成修复，并做了补救工作以防止其再次发生。

查看英文原文： OpenJDK Docker Image Served Mis-Labeled Vulnerable JDK