Closed DnPlas closed 1 month ago
charmedkubeflow/api-server:2.0.5-63c48d5 (ubuntu 20.04) ======================================================= Total: 0 (HIGH: 0, CRITICAL: 0) argo (gobinary) =============== Total: 33 (HIGH: 30, CRITICAL: 3) ┌─────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/argoproj/argo-events │ CVE-2022-25856 │ HIGH │ fixed │ v0.17.1-0.20220223155401-ddda8800f9f8 │ 1.7.1 │ Insecure path traversal in Git Trigger Source can lead to │ │ │ │ │ │ │ │ arbitrary file... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25856 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-31054 │ │ │ │ │ Uses of deprecated API can be used to cause DoS in │ │ │ │ │ │ │ │ user-facing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-31054 │ ├─────────────────────────────────┼─────────────────────┤ │ ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/crypto │ CVE-2022-27191 │ │ │ v0.0.0-20220214200702-86341886e292 │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │ ├─────────────────────────────────┼─────────────────────┤ │ ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2022-27664 │ │ │ v0.0.0-20220225172249-27dd8689420f │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ 0.7.0 │ golang.org/x/net/http2: avoid quadratic complexity in HPACK │ │ │ │ │ │ │ │ decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39325 │ │ │ │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ ├─────────────────────────────────┼─────────────────────┤ │ ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/text │ CVE-2022-32149 │ │ │ v0.3.7 │ 0.3.8 │ golang: golang.org/x/text/language: ParseAcceptLanguage │ │ │ │ │ │ │ │ takes a long time to parse complex tags │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │ ├─────────────────────────────────┼─────────────────────┤ │ ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ GHSA-m425-mq94-257g │ │ │ v1.44.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │ ├─────────────────────────────────┼─────────────────────┤ │ ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ gopkg.in/yaml.v3 │ CVE-2022-28948 │ │ │ v3.0.0-20210107192922-496545a6307b │ 3.0.0-20220521103104-8f96da9f5d5e │ golang-gopkg-yaml: crash when attempting to deserialize │ │ │ │ │ │ │ │ invalid input │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28948 │ ├─────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2023-24538 │ CRITICAL │ │ 1.17.13 │ 1.19.8, 1.20.3 │ golang: html/template: backticks not treated as string │ │ │ │ │ │ │ │ delimiters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24538 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24540 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper handling of JavaScript │ │ │ │ │ │ │ │ whitespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24540 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24790 │ │ │ │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │ │ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │ │ ├─────────────────────┼──────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-27664 │ HIGH │ │ │ 1.18.6, 1.19.1 │ golang: net/http: handle server errors after sending GOAWAY │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2879 │ │ │ │ 1.18.7, 1.19.2 │ golang: archive/tar: unbounded memory consumption when │ │ │ │ │ │ │ │ reading headers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2879 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2880 │ │ │ │ │ golang: net/http/httputil: ReverseProxy should not forward │ │ │ │ │ │ │ │ unparseable query parameters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2880 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41715 │ │ │ │ │ golang: regexp/syntax: limit memory used by parsing regexps │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41715 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41716 │ │ │ │ 1.18.8, 1.19.3 │ Due to unsanitized NUL values, attackers may be able to │ │ │ │ │ │ │ │ maliciously se... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41716 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41720 │ │ │ │ 1.18.9, 1.19.4 │ golang: os, net/http: avoid escapes from os.DirFS and │ │ │ │ │ │ │ │ http.Dir on Windows │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41720 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41722 │ │ │ │ 1.19.6, 1.20.1 │ golang: path/filepath: path-filepath filepath.Clean path │ │ │ │ │ │ │ │ traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41722 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ │ golang.org/x/net/http2: avoid quadratic complexity in HPACK │ │ │ │ │ │ │ │ decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41724 │ │ │ │ │ golang: crypto/tls: large handshake records may cause panics │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41724 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41725 │ │ │ │ │ golang: net/http, mime/multipart: denial of service from │ │ │ │ │ │ │ │ excessive resource consumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41725 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24534 │ │ │ │ 1.19.8, 1.20.3 │ golang: net/http, net/textproto: denial of service from │ │ │ │ │ │ │ │ excessive memory allocation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24534 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24536 │ │ │ │ │ golang: net/http, net/textproto, mime/multipart: denial of │ │ │ │ │ │ │ │ service from excessive resource consumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24536 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24537 │ │ │ │ │ golang: go/parser: Infinite loop in parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24537 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24539 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper sanitization of CSS values │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24539 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29400 │ │ │ │ │ golang: html/template: improper handling of empty HTML │ │ │ │ │ │ │ │ attributes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29400 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29403 │ │ │ │ 1.19.10, 1.20.5 │ golang: runtime: unexpected behavior of setuid/setgid │ │ │ │ │ │ │ │ binaries │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29403 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39325 │ │ │ │ 1.20.10, 1.21.3 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45283 │ │ │ │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\ │ │ │ │ │ │ │ │ prefix as... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45283 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45287 │ │ │ │ 1.20.0 │ golang: crypto/tls: Timing Side Channel attack in RSA based │ │ │ │ │ │ │ │ TLS key exchanges.... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45287 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45288 │ │ │ │ 1.21.9, 1.22.2 │ golang: net/http, x/net/http2: unlimited number of │ │ │ │ │ │ │ │ CONTINUATION frames causes DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45288 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34156 │ │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │ │ │ │ │ │ │ │ which contains deeply nested structures... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │ └─────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘ usr/bin/apiserver (gobinary) ============================ Total: 10 (HIGH: 9, CRITICAL: 1) ┌────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2023-39325 │ HIGH │ fixed │ v0.10.0 │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ ├────────────────────────┼─────────────────────┤ │ ├───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ GHSA-m425-mq94-257g │ │ │ v1.44.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │ ├────────────────────────┼─────────────────────┤ │ ├───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ k8s.io/kubernetes │ CVE-2019-11253 │ │ │ v1.11.1 │ 1.13.12, 1.14.8, 1.15.5, 1.16.2 │ kubernetes: YAML parsing vulnerable to "Billion Laughs" │ │ │ │ │ │ │ │ attack, allowing for remote denial... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-11253 │ │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8558 │ │ │ │ 1.18.4, 1.17.7, 1.16.11 │ kubernetes: node localhost services reachable via martian │ │ │ │ │ │ │ │ packets │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8558 │ │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-25741 │ │ │ │ 1.19.15, 1.20.11, 1.21.5, 1.22.2 │ kubernetes: Symlink exchange can allow host filesystem │ │ │ │ │ │ │ │ access │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-25741 │ │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-3676 │ │ │ │ 1.28.1, 1.27.5, 1.26.8, 1.25.13, 1.24.17 │ kubernetes: Insufficient input sanitization on Windows nodes │ │ │ │ │ │ │ │ leads to privilege escalation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3676 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-3955 │ │ │ │ │ kubernetes: Insufficient input sanitization on Windows nodes │ │ │ │ │ │ │ │ leads to privilege escalation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3955 │ │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-5528 │ │ │ │ 1.28.4, 1.27.8, 1.26.11, 1.25.16 │ kubernetes: Insufficient input sanitization in in-tree │ │ │ │ │ │ │ │ storage plugin leads to privilege escalation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5528 │ ├────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2024-24790 │ CRITICAL │ │ 1.21.9 │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │ │ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │ │ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34156 │ HIGH │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │ │ │ │ │ │ │ │ which contains deeply nested structures... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │ └────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ usr/bin/go-licenses (gobinary) ============================== Total: 6 (HIGH: 5, CRITICAL: 1) ┌─────────────────────┬────────────────┬──────────┬────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────────┼────────────────┼──────────┼────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/crypto │ CVE-2022-27191 │ HIGH │ fixed │ v0.0.0-20220112180741-5e0467b6c7ce │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │ ├─────────────────────┼────────────────┤ │ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2022-27664 │ │ │ v0.0.0-20211112202133-69e39bad7dc2 │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ 0.7.0 │ golang.org/x/net/http2: avoid quadratic complexity in HPACK │ │ │ │ │ │ │ │ decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39325 │ │ │ │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ ├─────────────────────┼────────────────┼──────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2024-24790 │ CRITICAL │ │ 1.21.9 │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │ │ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34156 │ HIGH │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │ │ │ │ │ │ │ │ which contains deeply nested structures... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │ └─────────────────────┴────────────────┴──────────┴────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
Details: https://github.com/canonical/bundle-kubeflow/actions/runs/11040023809
Closing as this is only an example.
Vulnerabilities found for charmedkubeflow/api-server:2.0.5-63c48d5
Details: https://github.com/canonical/bundle-kubeflow/actions/runs/11040023809