Vulnerabilidade no OpenSSL 3.2.3 detectada em VM Windows

Question

Tenho uma máquina virtual (VM) Windows hospedada na Azure que está utilizando a biblioteca OpenSSL na versão 3.2.3, identificada com vulnerabilidades conhecidas. Verifiquei que o site oficial do OpenSSL (https://openssl-library.org/source/) já disponibilizou versões mais recentes com correções.

Gostaria de esclarecer:

• A atualização do OpenSSL em VMs Windows é minha responsabilidade ou é gerenciada automaticamente pela Azure?

É seguro realizar a atualização manual da biblioteca OpenSSL diretamente a partir da fonte oficial nesse ambiente?

Há alguma recomendação oficial da Azure para lidar com vulnerabilidades desse tipo em VMs Windows?

Agradeço o suporte e aguardo orientações sobre o procedimento mais seguro e recomendado.

Answer 1

Olá, @Roger Reis !

Sobre a atualização do OpenSSL, sim é de sua responsabilidade. A Azure fornece a infraestrutura (IaaS), ou seja, ela gerencia o host (hardware, rede, e parte da plataforma), mas não gerencia o sistema operacional nem as aplicações dentro da sua VM. Sobre a atualização manual, é seguro, ams sempre é bom sermos precavidos e realizar um backup antes de atualizar e se possivel testar em um ambiente de homologação antes de aplicar em produção, verifique se na nova versão tem alguma mudança imcompativel com seu sistema rodando ou se quebra alguma compatibilidade.

Answer 2

Olá Roger Reis, Guilherme Rodrigues está correto.

Como sua VM Windows está hospedada no Azure, ela faz parte do modelo de Infraestrutura como Serviço (IaaS). Nesse modelo, o Azure é responsável pela infraestrutura física (como as máquinas host subjacentes e a rede), mas o sistema operacional e qualquer software ou bibliotecas instaladas dentro da VM, como o OpenSSL, são totalmente de responsabilidade do usuário para gerenciar, proteger e atualizar.

Isso está descrito na documentação oficial da Microsoft sobre o Modelo de Responsabilidade Compartilhada, onde especificamente diz:

“Para todos os tipos de implantação na nuvem, você possui seus dados e identidades, e os componentes da nuvem que você controla.”

E sob o modelo IaaS, você é responsável pelo sistema operacional convidado (Guest OS), aplicações, middleware e tempo de execução (runtime).

Confira a documentação da MS: Shared responsibility in the cloud - Microsoft Learn

Portanto, sim, é sua responsabilidade atualizar o OpenSSL em sua VM. O Azure não aplica patches automaticamente em bibliotecas de terceiros instaladas dentro do sistema operacional. Dito isso, geralmente é seguro atualizar o OpenSSL manualmente baixando a versão mais recente de uma fonte confiável como o site oficial do OpenSSL, apenas certifique-se de fazer backup do seu sistema e testar em um ambiente de homologação antes de aplicar mudanças em produção.

Se você está procurando atualizar o OpenSSL manualmente em uma VM Windows, apenas por segurança, faça backup do OpenSSL existente

Copy-Item "C:\OpenSSL-Win64" "C:\OpenSSL-Backup" -Recurse

Baixe e instale o OpenSSL mais recente para Windows

e instale a versão mais recente ou, se tiver alguma versão específica que atenda ao seu requisito

Invoke-WebRequest -Uri "https://slproweb.com/download/Win64OpenSSL-3_2_4.exe" -OutFile "C:\Temp\OpenSSLInstaller.exe"

Start-Process "C:\Temp\OpenSSLInstaller.exe" -ArgumentList "/silent", "/verysilent", "/sp-", "/norestart" -Wait

uma vez feito isso, verifique o mesmo-

Espero que isso esclareça sua dúvida. Obrigado

Answer 3

A versão do OpenSSL (3.2.3) inclusa no pacote do Agente da Azure (4.254) instalado na VM consta com vulnerabilidade pelo Defender. Como esse é um pacote disponibilizado e atualizado pela Microsoft, gostaria de saber se algo pode ser feito para eliminar essa vulnerabilidade ou só aguardar a atualização do Agente da Azure.