CVEs are found on trivy scan

[sathvikbu]

Below are the CVEs found on the ubuntu20.04 dind image:

quay.io/arubadevops/ubuntuci:ubuntu-dind (ubuntu 20.04)

Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)

usr/local/bin/docker-compose (gobinary)

Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 4, CRITICAL: 0)

┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬──────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼──────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/docker/docker │ GHSA-jq35-85cj-fj4p │ MEDIUM │ v24.0.6+incompatible │ 24.0.7 │ /sys/devices/virtual/powercap accessible by default to │ │ │ │ │ │ │ containers │ │ │ │ │ │ │ https://github.com/advisories/GHSA-jq35-85cj-fj4p │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼──────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108 │ HIGH │ v0.40.0 │ 0.46.0 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due │ │ rg/grpc/otelgrpc │ │ │ │ │ to unbound cardinality metrics │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-47108 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/net/http/httptr- │ CVE-2023-45142 │ │ │ 0.44.0 │ opentelemetry: DoS vulnerability in otelhttp │ │ ace/otelhttptrace │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45142 │ ├──────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ go.opentelemetry.io/contrib/instrumentation/net/http/otelht- │ │ │ │ │ │ │ tp │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├──────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2023-39325 │ │ v0.14.0 │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ │ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ MEDIUM │ │ │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴──────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/dockerd (gobinary)

Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 4, CRITICAL: 0)

┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/cyphar/filepath-securejoin │ GHSA-6xv5-86q9-7xr8 │ MEDIUM │ v0.2.3 │ 0.2.4 │ SecureJoin: on windows, paths outside of the rootfs could be │ │ │ │ │ │ │ inadvertently produced... │ │ │ │ │ │ │ https://github.com/advisories/GHSA-6xv5-86q9-7xr8 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108 │ HIGH │ v0.29.0 │ 0.46.0 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due │ │ rg/grpc/otelgrpc │ │ │ │ │ to unbound cardinality metrics │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-47108 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/net/http/httptr- │ CVE-2023-45142 │ │ │ 0.44.0 │ opentelemetry: DoS vulnerability in otelhttp │ │ ace/otelhttptrace │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45142 │ ├──────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ go.opentelemetry.io/contrib/instrumentation/net/http/otelht- │ │ │ │ │ │ │ tp │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ GHSA-m425-mq94-257g │ │ v1.50.1 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │ │ ├─────────────────────┼──────────┤ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ MEDIUM │ │ 1.58.3, 1.57.1, 1.56.3 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/lib/docker/cli-plugins/docker-buildx (gobinary)

Total: 9 (UNKNOWN: 0, LOW: 0, MEDIUM: 4, HIGH: 5, CRITICAL: 0)

┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────────────────────────────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/docker/docker │ GHSA-jq35-85cj-fj4p │ MEDIUM │ v24.0.5-0.20230714235725-36e9e796c6fc+incompatible │ 24.0.7 │ /sys/devices/virtual/powercap accessible by default to │ │ │ │ │ │ │ containers │ │ │ │ │ │ │ https://github.com/advisories/GHSA-jq35-85cj-fj4p │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108 │ HIGH │ v0.40.0 │ 0.46.0 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due │ │ rg/grpc/otelgrpc │ │ │ │ │ to unbound cardinality metrics │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-47108 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/net/http/httptr- │ CVE-2023-45142 │ │ │ 0.44.0 │ opentelemetry: DoS vulnerability in otelhttp │ │ ace/otelhttptrace │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45142 │ ├──────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ go.opentelemetry.io/contrib/instrumentation/net/http/otelht- │ │ │ │ │ │ │ tp │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ ├────────────────────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2023-39325 │ │ v0.8.0 │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ │ ├─────────────────────┼──────────┤ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-3978 │ MEDIUM │ │ 0.13.0 │ golang.org/x/net/html: Cross site scripting │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3978 │ │ ├─────────────────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ │ │ 0.17.0 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ GHSA-m425-mq94-257g │ HIGH │ v1.53.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │ │ ├─────────────────────┼──────────┤ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ MEDIUM │ │ 1.58.3, 1.57.1, 1.56.3 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────────────────────────────────────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘

[cruizba]

Notice that all vulns are actually vulns present in docker :)

Refer to them, this is not anything official.

When a new version is released, I will publish it.

[cruizba]

Should be fixed with new releases.