Open reedog117 opened 4 months ago
Friendly ping here. iceberg-rest-image
hasn't been updated in the Docker Hub in 4 months, and there are now multiple CRITICAL
CVE findings that would prevent deployment in new systems in many areas.
Some of this can be reduced by bumping the iceberg and hadoop versions to 1.5.2
and 3.4.0
but this doesn't resolve most of the Java HIGH
and CRITICAL
findings.
Summarized results
tabulario/iceberg-rest:latest (ubuntu 22.04)
Total: 76 (UNKNOWN: 0, LOW: 41, MEDIUM: 35, HIGH: 0, CRITICAL: 0)
Java (jar)
Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 10, HIGH: 13, CRITICAL: 4)
Detailed results
tabulario/iceberg-rest:latest (ubuntu 22.04)
Total: 76 (UNKNOWN: 0, LOW: 41, MEDIUM: 35, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ CVE-2022-3715 │ MEDIUM │ fixed │ 5.1-6ubuntu1 │ 5.1-6ubuntu1.1 │ bash: a heap-buffer-overflow in valid_parameter_transform │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3715 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2024-28085 │ │ │ 1:2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ LOW │ affected │ 8.32-4.1ubuntu1.1 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base │ CVE-2022-27943 │ │ │ 12.3.0-1ubuntu1~22.04 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ │ 2.2.27-3ubuntu2.1 │ │ gnupg: denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1 │ CVE-2024-28085 │ MEDIUM │ fixed │ 2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2024-2961 │ │ │ 2.35-0ubuntu3.6 │ 2.35-0ubuntu3.7 │ glibc: Out of bounds write in iconv may lead to remote │
│ │ │ │ │ │ │ code... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2961 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33599 │ │ │ │ 2.35-0ubuntu3.8 │ glibc: stack-based buffer overflow in netgroup cache │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33599 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33600 │ │ │ │ │ glibc: null pointer dereferences after failed netgroup cache │
│ │ │ │ │ │ │ insertion │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33600 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33601 │ │ │ │ │ glibc: netgroup cache may terminate daemon on memory │
│ │ │ │ │ │ │ allocation failure │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33601 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33602 │ │ │ │ │ glibc: netgroup cache assumes NSS callback uses in-buffer │
│ │ │ │ │ │ │ strings │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33602 │
│ ├────────────────┼──────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ affected │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┼──────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2024-2961 │ MEDIUM │ fixed │ │ 2.35-0ubuntu3.7 │ glibc: Out of bounds write in iconv may lead to remote │
│ │ │ │ │ │ │ code... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2961 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33599 │ │ │ │ 2.35-0ubuntu3.8 │ glibc: stack-based buffer overflow in netgroup cache │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33599 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33600 │ │ │ │ │ glibc: null pointer dereferences after failed netgroup cache │
│ │ │ │ │ │ │ insertion │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33600 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33601 │ │ │ │ │ glibc: netgroup cache may terminate daemon on memory │
│ │ │ │ │ │ │ allocation failure │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33601 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33602 │ │ │ │ │ glibc: netgroup cache assumes NSS callback uses in-buffer │
│ │ │ │ │ │ │ strings │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33602 │
│ ├────────────────┼──────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ affected │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat1 │ CVE-2023-52425 │ MEDIUM │ fixed │ 2.4.7-1ubuntu0.2 │ 2.4.7-1ubuntu0.3 │ expat: parsing large tokens can trigger a denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52425 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28757 │ │ │ │ │ expat: XML Entity Expansion │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28757 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1 │ CVE-2022-27943 │ LOW │ affected │ 12.3.0-1ubuntu1~22.04 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2024-2236 │ MEDIUM │ │ 1.9.4-3ubuntu3 │ │ libgcrypt: vulnerable to Marvin Attack │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2236 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30 │ CVE-2024-28834 │ │ fixed │ 3.7.3-4ubuntu1.4 │ 3.7.3-4ubuntu1.5 │ gnutls: vulnerable to Minerva side-channel information leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28834 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28835 │ │ │ │ │ gnutls: potential crash during chain building/verification │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28835 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2024-26462 │ │ affected │ 1.19.2-2ubuntu0.3 │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3 │ CVE-2024-26462 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3 │ CVE-2024-26462 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0 │ CVE-2024-26462 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5 │ CVE-2020-22916 │ MEDIUM │ │ 5.2.5-2ubuntu1 │ │ Denial of service via decompression of crafted file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-22916 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1 │ CVE-2024-28085 │ │ fixed │ 2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6 │ CVE-2023-45918 │ LOW │ affected │ 6.3-2ubuntu0.1 │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6 │ CVE-2023-45918 │ │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ │ │ 2:8.39-13ubuntu0.22.04.1 │ │ pcre: OP_KETRMAX feature in the match function in │
│ │ │ │ │ │ │ pcre_exec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16 │ CVE-2022-3857 │ │ │ 1.6.37-3build5 │ │ libpng: Null pointer dereference leads to segmentation fault │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3857 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1 │ CVE-2024-28085 │ MEDIUM │ fixed │ 2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3 │ CVE-2022-40735 │ │ │ 3.0.2-0ubuntu1.14 │ 3.0.2-0ubuntu1.16 │ The Diffie-Hellman Key Agreement Protocol allows use of long │
│ │ │ │ │ │ │ exponents that arguably... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-40735 │
│ ├────────────────┼──────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2511 │ LOW │ affected │ │ │ openssl: Unbounded memory growth with session handling in │
│ │ │ │ │ │ │ TLSv1.3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-4603 │ │ │ │ │ openssl: Excessive time spent checking DSA keys and │
│ │ │ │ │ │ │ parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-4741 │ │ │ │ │ openssl: Use After Free with SSL_free_buffers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6 │ CVE-2022-27943 │ │ │ 12.3.0-1ubuntu1~22.04 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2023-7008 │ │ │ 249.11-0ubuntu3.12 │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2023-45918 │ │ │ 6.3-2ubuntu0.1 │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2023-7008 │ │ │ 249.11-0ubuntu3.12 │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1 │ CVE-2024-28085 │ MEDIUM │ fixed │ 2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1 │ CVE-2022-4899 │ LOW │ affected │ 1.4.8+dfsg-3build1 │ │ zstd: mysql: buffer overrun in util.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4899 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ locales │ CVE-2024-2961 │ MEDIUM │ fixed │ 2.35-0ubuntu3.6 │ 2.35-0ubuntu3.7 │ glibc: Out of bounds write in iconv may lead to remote │
│ │ │ │ │ │ │ code... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2961 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33599 │ │ │ │ 2.35-0ubuntu3.8 │ glibc: stack-based buffer overflow in netgroup cache │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33599 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33600 │ │ │ │ │ glibc: null pointer dereferences after failed netgroup cache │
│ │ │ │ │ │ │ insertion │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33600 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33601 │ │ │ │ │ glibc: netgroup cache may terminate daemon on memory │
│ │ │ │ │ │ │ allocation failure │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33601 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-33602 │ │ │ │ │ glibc: netgroup cache assumes NSS callback uses in-buffer │
│ │ │ │ │ │ │ strings │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-33602 │
│ ├────────────────┼──────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ affected │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2023-29383 │ │ │ 1:4.8.1-2ubuntu2.1 │ │ shadow: Improper input validation in shadow-utils package │
│ │ │ │ │ │ │ utility chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
│ ├────────────────┤ ├──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4641 │ │ fixed │ │ 1:4.8.1-2ubuntu2.2 │ shadow-utils: possible password leak during passwd(1) change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4641 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ mount │ CVE-2024-28085 │ MEDIUM │ │ 2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2023-45918 │ LOW │ affected │ 6.3-2ubuntu0.1 │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin │ CVE-2023-45918 │ │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2022-40735 │ MEDIUM │ fixed │ 3.0.2-0ubuntu1.15 │ 3.0.2-0ubuntu1.16 │ The Diffie-Hellman Key Agreement Protocol allows use of long │
│ │ │ │ │ │ │ exponents that arguably... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-40735 │
│ ├────────────────┼──────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2511 │ LOW │ affected │ │ │ openssl: Unbounded memory growth with session handling in │
│ │ │ │ │ │ │ TLSv1.3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-4603 │ │ │ │ │ openssl: Excessive time spent checking DSA keys and │
│ │ │ │ │ │ │ parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-4741 │ │ │ │ │ openssl: Use After Free with SSL_free_buffers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2023-29383 │ │ │ 1:4.8.1-2ubuntu2.1 │ │ shadow: Improper input validation in shadow-utils package │
│ │ │ │ │ │ │ utility chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
│ ├────────────────┤ ├──────────┤ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4641 │ │ fixed │ │ 1:4.8.1-2ubuntu2.2 │ shadow-utils: possible password leak during passwd(1) change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4641 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux │ CVE-2024-28085 │ MEDIUM │ │ 2.37.2-4ubuntu3 │ 2.37.2-4ubuntu3.3 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘
2024-07-09T23:40:58-04:00 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Java (jar)
Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 10, HIGH: 13, CRITICAL: 4)
┌─────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬──────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.azure:azure-identity (iceberg-rest-image-all.jar) │ CVE-2024-35255 │ MEDIUM │ fixed │ 1.11.1 │ 1.12.2 │ azure-identity: Azure Identity Libraries Elevation of │
│ │ │ │ │ │ │ Privilege Vulnerability in │
│ │ │ │ │ │ │ github.com/Azure/azure-sdk-for-go/sdk/azidentity │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-35255 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.protobuf:protobuf-java │ CVE-2021-22569 │ HIGH │ │ 3.7.1 │ 3.16.1, 3.18.2, 3.19.2 │ protobuf-java: potential DoS in the parsing procedure for │
│ (iceberg-rest-image-all.jar) │ │ │ │ │ │ binary data │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22569 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-22570 │ │ │ │ 3.15.0 │ protobuf: Incorrect parsing of nullchar in the proto symbol │
│ │ │ │ │ │ │ leads to Nullptr... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22570 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3509 │ │ │ │ 3.16.3, 3.19.6, 3.20.3, 3.21.7 │ protobuf-java: Textformat parsing issue leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3509 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3510 │ │ │ │ │ protobuf-java: Message-Type Extensions parsing issue leads │
│ │ │ │ │ │ │ to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3510 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3171 │ MEDIUM │ │ │ 3.21.7, 3.20.3, 3.19.6, 3.16.3 │ protobuf-java: timeout in parser leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3171 │
├─────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.nimbusds:nimbus-jose-jwt (iceberg-rest-image-all.jar) │ CVE-2023-52428 │ │ │ 9.30.2 │ 9.37.2 │ Denial of Service in Connect2id Nimbus JOSE+JWT │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52428 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.airlift:aircompressor (iceberg-rest-image-all.jar) │ CVE-2024-36114 │ HIGH │ │ 0.26 │ 0.27 │ Decompressors can crash the JVM and leak memory content in │
│ │ │ │ │ │ │ Aircompressor │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-36114 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (iceberg-rest-image-all.jar) │ CVE-2024-29025 │ MEDIUM │ │ 4.1.100.Final │ 4.1.108.Final │ netty-codec-http: Allocation of Resources Without Limits or │
│ │ │ │ │ │ │ Throttling │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29025 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (iceberg-rest-image-all.jar) │ CVE-2019-17571 │ CRITICAL │ affected │ 1.2.17 │ │ log4j: deserialization of untrusted data in SocketServer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23305 │ │ │ │ │ log4j: SQL injection in Log4j 1.x when application is │
│ │ │ │ │ │ │ configured to use... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23305 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23307 │ │ │ │ │ log4j: Unsafe deserialization flaw in Chainsaw log viewer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23307 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4104 │ HIGH │ │ │ │ log4j: Remote code execution in Log4j 1.x when application │
│ │ │ │ │ │ │ is configured to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4104 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23302 │ │ │ │ │ log4j: Remote code execution in Log4j 1.x when application │
│ │ │ │ │ │ │ is configured to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23302 │
├─────────────────────────────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-compress │ CVE-2024-25710 │ │ fixed │ 1.22 │ 1.26.0 │ commons-compress: Denial of service caused by an infinite │
│ (iceberg-rest-image-all.jar) │ │ │ │ │ │ loop for a corrupted... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25710 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26308 │ │ │ │ │ commons-compress: OutOfMemoryError unpacking broken Pack200 │
│ │ │ │ │ │ │ file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26308 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42503 │ MEDIUM │ │ │ 1.24.0 │ apache-commons-compress: Denial of service via CPU │
│ │ │ │ │ │ │ consumption for malformed TAR file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42503 │
├─────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-configuration2 │ CVE-2024-29131 │ │ │ 2.8.0 │ 2.10.1 │ commons-configuration: StackOverflowError adding property in │
│ (iceberg-rest-image-all.jar) │ │ │ │ │ │ AbstractListDelimiterHandler.flattenIterator() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29131 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-29133 │ │ │ │ │ commons-configuration: StackOverflowError calling │
│ │ │ │ │ │ │ ListDelimiterHandler.flatten(Object, int) with a cyclical │
│ │ │ │ │ │ │ object tree │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29133 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.zookeeper:zookeeper (iceberg-rest-image-all.jar) │ CVE-2023-44981 │ CRITICAL │ │ 3.6.3 │ 3.7.2, 3.8.3, 3.9.1 │ zookeeper: Authorization Bypass in Apache ZooKeeper │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44981 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-23944 │ MEDIUM │ │ │ 3.8.4, 3.9.2 │ Information disclosure in persistent watchers handling in │
│ │ │ │ │ │ │ Apache ZooKe ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-23944 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.jettison:jettison (iceberg-rest-image-all.jar) │ CVE-2022-40150 │ HIGH │ │ 1.1 │ 1.5.2 │ jettison: memory exhaustion via user-supplied XML or JSON │
│ │ │ │ │ │ │ data │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-40150 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-45685 │ │ │ │ │ jettison: stack overflow in JSONObject() allows attackers to │
│ │ │ │ │ │ │ cause a Denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-45685 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-45693 │ │ │ │ │ jettison: If the value in map is the map's self, the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-45693 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-1436 │ │ │ │ 1.5.4 │ jettison: Uncontrolled Recursion in JSONArray │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-1436 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-40149 │ MEDIUM │ │ │ 1.5.1 │ jettison: parser crash by stackoverflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-40149 │
├─────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.eclipse.jetty:jetty-http (iceberg-rest-image-all.jar) │ CVE-2023-40167 │ │ │ 9.4.51.v20230217 │ 9.4.52, 10.0.16, 11.0.16, 12.0.1 │ jetty: Improper validation of HTTP/1 content-length │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40167 │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.eclipse.jetty:jetty-xml (iceberg-rest-image-all.jar) │ GHSA-58qw-p7qm-5rvh │ LOW │ │ │ 10.0.16, 11.0.16, 12.0.0, 9.4.52 │ Eclipse Jetty XmlParser allows arbitrary DOCTYPE │
│ │ │ │ │ │ │ declarations │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-58qw-p7qm-5rvh │
└─────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴──────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘
Security findings found via Trivy when using that need to be resolved. Unsure if this should be reported here or upstream.
In summary there are 5 medium and 4 high CVE vulnerabilities that can be resolved with updated dependencies within
iceberg-rest-image-all.jar
Note that this is with the following contents in
build.gradle