search

crowdsecurity / cs-openresty-bouncer

CrowdSec bouncer for OpenResty
MIT License
10 stars 5 forks source link

Several High and critical vulnerabilities caused by the image #49

Open flo-mic opened 3 weeks ago

flo-mic commented 3 weeks ago

Hi Crowdsec Team, first of all thanks for this great product, I used it a lot in the past months and really liked it.

Unfortunately this image as well as the kubernetes lapi and deamonsets expose a lot of vulnerabilities, so I was forced to remove this from our production environments. Is there any process in place to watch and remediate vulnerabilities? As this is loaded in the ingress controller and therefore public phasing, our security team was forcing the shutdown of this security solution due to security issues. Actually most of our production vulnerabilities was caused by crowdstrice in the last weeks :(

blotus commented 3 weeks ago

Hello,

Do you have more details ? Were those vulnerabilities reported in the base image(s) with a static scanning tool ?

If so, the vast majority of the time, those vulnerabilities are pretty much meaningless (because they are in packages present in the base image, but nothing makes use of them), but if you do find a vulnerability in something that is actively used in the image, please let us know.

A possible workaround if your security team insists on having "clean" images would be to build your own image based on our own and run apk update/apt upgrade/... or just rebuild the image using our Dockerfile.

LaurenceJJones commented 3 weeks ago

Also crowdstrice ?

here an example using trivy an open source scanner

trivy image crowdsecurity/openresty

```bash 2024-08-20T07:36:46+01:00 INFO [vuln] Vulnerability scanning is enabled 2024-08-20T07:36:46+01:00 INFO [secret] Secret scanning is enabled 2024-08-20T07:36:46+01:00 INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning 2024-08-20T07:36:46+01:00 INFO [secret] Please see also https://aquasecurity.github.io/trivy/v0.54/docs/scanner/secret#recommendation for faster secret detection 2024-08-20T07:36:48+01:00 INFO Detected OS family="alpine" version="3.19.1" 2024-08-20T07:36:48+01:00 INFO [alpine] Detecting vulnerabilities... os_version="3.19" repository="3.19" pkg_num=92 2024-08-20T07:36:48+01:00 INFO Number of language-specific files num=0 2024-08-20T07:36:48+01:00 WARN Using severities from other vendors for some vulnerabilities. Read https://aquasecurity.github.io/trivy/v0.54/docs/scanner/vulnerability#severity-selectionfor details. crowdsecurity/openresty (alpine 3.19.1) ======================================= Total: 56 (UNKNOWN: 1, LOW: 8, MEDIUM: 33, HIGH: 11, CRITICAL: 3) ┌───────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├───────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ busybox │ CVE-2023-42363 │ MEDIUM │ fixed │ 1.36.1-r15 │ 1.36.1-r17 │ busybox: use-after-free in awk │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42364 │ │ │ │ 1.36.1-r19 │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42366 │ │ │ │ 1.36.1-r16 │ busybox: A heap-buffer-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │ ├───────────────┼────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ busybox-binsh │ CVE-2023-42363 │ │ │ │ 1.36.1-r17 │ busybox: use-after-free in awk │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42364 │ │ │ │ 1.36.1-r19 │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42366 │ │ │ │ 1.36.1-r16 │ busybox: A heap-buffer-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │ ├───────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ c-ares │ CVE-2024-25629 │ │ │ 1.24.0-r1 │ 1.27.0-r0 │ c-ares: Out of bounds read in ares__read_line() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25629 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ curl │ CVE-2024-2398 │ HIGH │ │ 8.5.0-r0 │ 8.7.1-r0 │ curl: HTTP/2 push headers memory-leak │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2398 │ │ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-0853 │ MEDIUM │ │ │ 8.6.0-r0 │ curl: OCSP verification bypass with TLS session reuse │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0853 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2004 │ │ │ │ 8.7.1-r0 │ curl: Usage of disabled protocol │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2004 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2379 │ │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2466 │ │ │ │ │ curl: TLS certificate check bypass with mbedTLS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2466 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6197 │ │ │ │ 8.9.0-r0 │ curl: freeing stack buffer in utf8asn1str │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6197 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6874 │ │ │ │ │ curl: macidn punycode buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6874 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ git │ CVE-2024-32002 │ CRITICAL │ │ 2.43.0-r0 │ 2.43.4-r0 │ git: Recursive clones RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32002 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32004 │ HIGH │ │ │ │ git: RCE while cloning local repos │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32004 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32465 │ │ │ │ │ git: additional local RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32465 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32020 │ LOW │ │ │ │ git: insecure hardlinks │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32020 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32021 │ │ │ │ │ git: symlink bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32021 │ ├───────────────┼────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ git-perl │ CVE-2024-32002 │ CRITICAL │ │ │ │ git: Recursive clones RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32002 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32004 │ HIGH │ │ │ │ git: RCE while cloning local repos │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32004 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32465 │ │ │ │ │ git: additional local RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32465 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32020 │ LOW │ │ │ │ git: insecure hardlinks │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32020 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32021 │ │ │ │ │ git: symlink bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32021 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libcrypto3 │ CVE-2024-4603 │ MEDIUM │ │ 3.1.4-r5 │ 3.1.5-r0 │ openssl: Excessive time spent checking DSA keys and │ │ │ │ │ │ │ │ parameters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4741 │ │ │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-5535 │ │ │ │ │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ │ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2511 │ LOW │ │ │ 3.1.4-r6 │ openssl: Unbounded memory growth with session handling in │ │ │ │ │ │ │ │ TLSv1.3 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libcurl │ CVE-2024-2398 │ HIGH │ │ 8.5.0-r0 │ 8.7.1-r0 │ curl: HTTP/2 push headers memory-leak │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2398 │ │ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-0853 │ MEDIUM │ │ │ 8.6.0-r0 │ curl: OCSP verification bypass with TLS session reuse │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0853 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2004 │ │ │ │ 8.7.1-r0 │ curl: Usage of disabled protocol │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2004 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2379 │ │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2466 │ │ │ │ │ curl: TLS certificate check bypass with mbedTLS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2466 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6197 │ │ │ │ 8.9.0-r0 │ curl: freeing stack buffer in utf8asn1str │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6197 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6874 │ │ │ │ │ curl: macidn punycode buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6874 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libdav1d │ CVE-2024-1580 │ UNKNOWN │ │ 1.3.0-r0 │ 1.3.0-r1 │ An integer overflow in dav1d AV1 decoder that can occur when │ │ │ │ │ │ │ │ decoding... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-1580 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libexpat │ CVE-2023-52425 │ HIGH │ │ 2.5.0-r2 │ 2.6.0-r0 │ expat: parsing large tokens can trigger a denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52425 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-28757 │ │ │ │ 2.6.2-r0 │ expat: XML Entity Expansion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28757 │ │ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-52426 │ MEDIUM │ │ │ 2.6.0-r0 │ expat: recursive XML entity expansion vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52426 │ ├───────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libssl3 │ CVE-2024-4603 │ │ │ 3.1.4-r5 │ 3.1.5-r0 │ openssl: Excessive time spent checking DSA keys and │ │ │ │ │ │ │ │ parameters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4741 │ │ │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-5535 │ │ │ │ │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ │ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2511 │ LOW │ │ │ 3.1.4-r6 │ openssl: Unbounded memory growth with session handling in │ │ │ │ │ │ │ │ TLSv1.3 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libxml2 │ CVE-2024-25062 │ HIGH │ │ 2.11.6-r0 │ 2.11.7-r0 │ libxml2: use-after-free in XMLReader │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25062 │ │ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34459 │ MEDIUM │ │ │ 2.11.8-r0 │ libxml2: buffer over-read in xmlHTMLPrintFileContext in │ │ │ │ │ │ │ │ xmllint.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34459 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ perl-git │ CVE-2024-32002 │ CRITICAL │ │ 2.43.0-r0 │ 2.43.4-r0 │ git: Recursive clones RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32002 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32004 │ HIGH │ │ │ │ git: RCE while cloning local repos │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32004 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32465 │ │ │ │ │ git: additional local RCE │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32465 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32020 │ LOW │ │ │ │ git: insecure hardlinks │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32020 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-32021 │ │ │ │ │ git: symlink bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32021 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ ssl_client │ CVE-2023-42363 │ MEDIUM │ │ 1.36.1-r15 │ 1.36.1-r17 │ busybox: use-after-free in awk │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42364 │ │ │ │ 1.36.1-r19 │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42366 │ │ │ │ 1.36.1-r16 │ busybox: A heap-buffer-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │ └───────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ ```

Scan using a locally built image using repo and no modifications:

``` trivy image cs-openresty-local 2024-08-20T07:39:47+01:00 INFO [vuln] Vulnerability scanning is enabled 2024-08-20T07:39:47+01:00 INFO [secret] Secret scanning is enabled 2024-08-20T07:39:47+01:00 INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning 2024-08-20T07:39:47+01:00 INFO [secret] Please see also https://aquasecurity.github.io/trivy/v0.54/docs/scanner/secret#recommendation for faster secret detection 2024-08-20T07:39:50+01:00 INFO Detected OS family="alpine" version="3.20.1" 2024-08-20T07:39:50+01:00 INFO [alpine] Detecting vulnerabilities... os_version="3.20" repository="3.20" pkg_num=92 2024-08-20T07:39:50+01:00 INFO Number of language-specific files num=0 2024-08-20T07:39:50+01:00 WARN Using severities from other vendors for some vulnerabilities. Read https://aquasecurity.github.io/trivy/v0.54/docs/scanner/vulnerability#severity-selectionfor details. cs-openresty-local (alpine 3.20.1) Total: 7 (UNKNOWN: 0, LOW: 0, MEDIUM: 6, HIGH: 0, CRITICAL: 1) ┌────────────┬───────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────┼───────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────┤ │ aom-libs │ CVE-2024-5171 │ CRITICAL │ fixed │ 3.9.0-r0 │ 3.9.1-r0 │ libaom: Integer overflow in internal │ │ │ │ │ │ │ │ function img_alloc_helper │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5171 │ ├────────────┼───────────────┼──────────┤ ├───────────────────┼───────────────┼────────────────────────────────────────────────┤ │ curl │ CVE-2024-6197 │ MEDIUM │ │ 8.8.0-r0 │ 8.9.0-r0 │ curl: freeing stack buffer in utf8asn1str │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6197 │ │ ├───────────────┤ │ │ │ ├────────────────────────────────────────────────┤ │ │ CVE-2024-6874 │ │ │ │ │ curl: macidn punycode buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6874 │ ├────────────┼───────────────┤ │ ├───────────────────┼───────────────┼────────────────────────────────────────────────┤ │ libcrypto3 │ CVE-2024-5535 │ │ │ 3.3.1-r0 │ 3.3.1-r1 │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ ├────────────┼───────────────┤ │ ├───────────────────┼───────────────┼────────────────────────────────────────────────┤ │ libcurl │ CVE-2024-6197 │ │ │ 8.8.0-r0 │ 8.9.0-r0 │ curl: freeing stack buffer in utf8asn1str │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6197 │ │ ├───────────────┤ │ │ │ ├────────────────────────────────────────────────┤ │ │ CVE-2024-6874 │ │ │ │ │ curl: macidn punycode buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6874 │ ├────────────┼───────────────┤ │ ├───────────────────┼───────────────┼────────────────────────────────────────────────┤ │ libssl3 │ CVE-2024-5535 │ │ │ 3.3.1-r0 │ 3.3.1-r1 │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ └────────────┴───────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────┘ ```

Seems the upstream alpine image provided by openresty still has some unresolved patches