search

danihodovic / celery-exporter

A Prometheus exporter for Celery metrics
MIT License
431 stars 94 forks source link

Update/rebuild base image for newer linux-libc-dev. #317

Closed goat-ssh closed 3 months ago

goat-ssh commented 3 months ago

Trivy scan reveals a critical (fixed issues) related to Debian 11

trivy image --severity CRITICAL,HIGH --ignore-unfixed danihodovic/celery-exporter:0.10.8
....
danihodovic/celery-exporter:0.10.8 (debian 11.10)
=================================================
Total: 12 (HIGH: 11, CRITICAL: 1)

┌────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐
│    Library     │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                           Title                            │
├────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ linux-libc-dev │ CVE-2024-42154 │ CRITICAL │ fixed  │ 5.10.218-1        │ 5.10.223-1    │ kernel: tcp_metrics: validate source addr length           │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-42154                 │
│                ├────────────────┼──────────┤        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│                │ CVE-2022-43945 │ HIGH     │        │                   │ 5.10.221-1    │ kernel: nfsd buffer overflow by RPC message over TCP with  │
│                │                │          │        │                   │               │ garbage data...                                            │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2022-43945                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-36971 │          │        │                   │               │ kernel: net: kernel: UAF in network route management       │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-36971                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-36978 │          │        │                   │               │ kernel: net: sched: sch_multiq: fix possible OOB write in  │
│                │                │          │        │                   │               │ multiq_tune()                                              │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-36978                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-38583 │          │        │                   │               │ kernel: nilfs2: fix use-after-free of timer for log writer │
│                │                │          │        │                   │               │ thread                                                     │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-38583                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-39480 │          │        │                   │               │ kernel: kdb: Fix buffer overflow during tab-complete       │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-39480                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-39495 │          │        │                   │               │ kernel: greybus: Fix use-after-free bug in                 │
│                │                │          │        │                   │               │ gb_interface_release due to race condition                 │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-39495                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-40902 │          │        │                   │               │ kernel: jfs: xattr: fix buffer overflow for invalid xattr  │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-40902                 │
│                ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│                │ CVE-2024-41090 │          │        │                   │ 5.10.223-1    │ kernel: virtio-net: tap: mlx5_core short frame denial of   │
│                │                │          │        │                   │               │ service                                                    │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-41090                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-41091 │          │        │                   │               │ kernel: virtio-net: tun: mlx5_core short frame denial of   │
│                │                │          │        │                   │               │ service                                                    │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-41091                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-42161 │          │        │                   │               │ kernel: bpf: Avoid uninitialized value in                  │
│                │                │          │        │                   │               │ BPF_CORE_READ_BITFIELD                                     │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-42161                 │
│                ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│                │ CVE-2024-42224 │          │        │                   │               │ kernel: net: dsa: mv88e6xxx: Correct check for empty list  │
│                │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-42224                 │
└────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

Python (python-pkg)
===================
Total: 2 (HIGH: 2, CRITICAL: 0)

┌───────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────┐
│        Library        │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                          Title                          │
├───────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────┤
│ Werkzeug (METADATA)   │ CVE-2024-34069 │ HIGH     │ fixed  │ 3.0.1             │ 3.0.3         │ python-werkzeug: user may execute code on a developer's │
│                       │                │          │        │                   │               │ machine                                                 │
│                       │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-34069              │
├───────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────┤
│ setuptools (METADATA) │ CVE-2024-6345  │          │        │ 69.0.3            │ 70.0.0        │ pypa/setuptools: Remote code execution via download     │
│                       │                │          │        │                   │               │ functions in the package_index module in...             │
│                       │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-6345               │
└───────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────┘
danihodovic commented 3 months ago

Do you want to open a PR? I think changing the base image will resolve this.

goat-ssh commented 3 months ago

Cool, we're down to 

# trivy image danihodovic/celery-exporter:0.10.10

danihodovic/celery-exporter:0.10.10 (debian 12.6)
=================================================
Total: 0 (HIGH: 0, CRITICAL: 0)

Python (python-pkg)
===================
Total: 4 (HIGH: 4, CRITICAL: 0)

┌───────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────┐
│        Library        │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                          Title                          │
├───────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────┤
│ Werkzeug (METADATA)   │ CVE-2024-34069 │ HIGH     │ fixed  │ 3.0.1             │ 3.0.3         │ python-werkzeug: user may execute code on a developer's │
│                       │                │          │        │                   │               │ machine                                                 │
│                       │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-34069              │
│                       │                │          │        │                   │               │                                                         │
│                       │                │          │        │                   │               │                                                         │
│                       │                │          │        │                   │               │                                                         │
│                       │                │          │        │                   │               │                                                         │
├───────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────┤
│ setuptools (METADATA) │ CVE-2024-6345  │          │        │ 65.5.1            │ 70.0.0        │ pypa/setuptools: Remote code execution via download     │
│                       │                │          │        │                   │               │ functions in the package_index module in...             │
│                       │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-6345               │
│                       │                │          │        ├───────────────────┤               │                                                         │
│                       │                │          │        │ 69.0.3            │               │                                                         │
│                       │                │          │        │                   │               │                                                         │
│                       │                │          │        │                   │               │                                                         │
└───────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────┘

@danihodovic should those be upgraded too ?

danihodovic commented 3 months ago

Yes make sense. While you're at it, why don't we upgrade to py3.12?

image

goat-ssh commented 3 months ago

I can try :)