rajir8
commented
1 year ago any updates on the fix for these vulnerabilities?
Open wargamez opened 1 year ago
rajir8
commented
1 year ago any updates on the fix for these vulnerabilities?
joancafom
commented
1 year ago The latest release of the docker image 8.10.2 does also report several CVEs related (mainly) to dependencies. Are there any plans to update this?
$ trivy image --vuln-type library docker.elastic.co/logstash/logstash:8.10.2
Java (jar)
Total: 27 (UNKNOWN: 0, LOW: 1, MEDIUM: 12, HIGH: 11, CRITICAL: 3)
┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ fixed │ 18.0 │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-10237 │ MEDIUM │ │ │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ │ 30.0 │ local information disclosure via temporary directory created │
│ │ │ │ │ │ │ with unsafe permissions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-31.1-jre.jar) │ CVE-2023-2976 │ HIGH │ │ 31.1-jre │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (commons-io-2.2.jar) │ CVE-2021-29425 │ MEDIUM │ │ 2.2 │ 2.7 │ apache-commons-io: Limited path traversal in Apache Commons │
│ │ │ │ │ │ │ IO 2.2 to 2.6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29425 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ commons-io:commons-io (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.avro:avro (avro-1.11.1.jar) │ CVE-2023-39410 │ HIGH │ │ 1.11.1 │ 1.11.3 │ Apache Avro Java SDK vulnerable to Improper Input Validation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39410 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.derby:derby (derby-10.14.1.0.jar) │ CVE-2018-1313 │ MEDIUM │ │ 10.14.1.0 │ 10.14.2.0 │ derby: Externally-controlled input vulnerability allows │
│ │ │ │ │ │ │ remote attacker to boot a database under... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1313 │
├────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient │ CVE-2015-5262 │ │ │ 4.3.5 │ 4.3.6 │ jakarta-commons-httpclient, httpcomponents-core: missing │
│ (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ HTTPS connection timeout │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-5262 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13956 │ │ │ │ 4.5.13 │ incorrect handling of malformed authority component in │
│ │ │ │ │ │ │ request URIs │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ CRITICAL │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar) │ CVE-2023-33201 │ MEDIUM │ │ 1.71 │ 1.74 │ potential blind LDAP injection attack using a self-signed │
│ │ │ │ │ │ │ certificate │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.22.jar) │ CVE-2022-4244 │ HIGH │ │ 3.0.22 │ 3.0.24 │ Directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4244 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-4245 │ MEDIUM │ │ │ │ XML External Entity (XXE) Injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4245 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2021-37714 │ HIGH │ │ 1.7.2 │ 1.14.2 │ Crafted input may cause the jsoup HTML and XML parser to │
│ │ │ │ │ │ │ get... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2015-6748 │ MEDIUM │ │ │ 1.8.3 │ jsoup: XSS vulnerability related to incomplete tags at EOF │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-6748 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2022-36033 │ │ │ │ 1.15.3 │ The jsoup cleaner may incorrectly sanitize crafted XSS │
│ │ │ │ │ │ │ attempts if SafeList.preserveRelativeLinks is... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-36033 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ HIGH │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34454 │ │ │ │ │ Integer overflow in compress leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34455 │ │ │ │ │ Unchecked chunk length leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43642 │ │ │ │ 1.1.10.4 │ Missing upper bound check on chunk length in snappy-java can │
│ │ │ │ │ │ │ lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43642 │
├────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┤ │ │
│ org.xerial.snappy:snappy-java (snappy-java-1.1.10.1.jar) │ │ │ │ 1.1.10.1 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (logstash-filter-useragent-3.3.4.jar) │ CVE-2022-1471 │ CRITICAL │ │ 1.33 │ 2.0 │ Constructor Deserialization Remote Code Execution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-04T16:09:26.558Z INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Ruby (gemspec)
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ time (time-0.1.0.gemspec) │ CVE-2023-28756 │ HIGH │ fixed │ 0.1.0 │ ~> 0.1.1, >= 0.2.2 │ ReDoS vulnerability in Time │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28756 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ uri (uri-0.11.0.gemspec) │ CVE-2023-28755 │ │ │ 0.11.0 │ ~> 0.10.0.1, ~> 0.10.2, ~> 0.11.1, >= 0.12.1 │ ReDoS vulnerability in URI │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28755 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ │ CVE-2023-36617 │ MEDIUM │ │ │ ~> 0.10.0.3, ~> 0.10.3, ~> 0.11.2, >= 0.12.2 │ ReDoS vulnerability - upstream's incomplete fix for │
│ │ │ │ │ │ │ CVE-2023-28755 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36617 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────┴─────────────────────────────────────────────────────┘
chadmyers
commented
1 year ago From the 8.10.4 version:
docker.elastic.co/logstash/logstash:8.10.4 (ubuntu 20.04)
=========================================================
Total: 31 (UNKNOWN: 0, LOW: 22, MEDIUM: 9, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ LOW │ affected │ 8.30-3ubuntu2 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2023-38546 │ │ fixed │ 7.68.0-1ubuntu2.19 │ 7.68.0-1ubuntu2.20 │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ affected │ 2.2.19-3ubuntu2.2 │ │ denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ krb5-locales │ CVE-2023-36054 │ MEDIUM │ │ 1.17-6ubuntu4.3 │ │ Denial of service through freeing uninitialized pointer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2023-5156 │ │ │ 2.31-0ubuntu9.12 │ │ DoS due to memory leak in getaddrinfo.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5156 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2023-5156 │ MEDIUM │ │ │ │ DoS due to memory leak in getaddrinfo.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5156 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4 │ CVE-2023-38546 │ │ fixed │ 7.68.0-1ubuntu2.19 │ 7.68.0-1ubuntu2.20 │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2023-36054 │ MEDIUM │ affected │ 1.17-6ubuntu4.3 │ │ Denial of service through freeing uninitialized pointer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libk5crypto3 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libkrb5-3 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libkrb5support0 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.4-2 │ CVE-2023-2953 │ LOW │ │ 2.4.49+dfsg-2ubuntu1.9 │ │ null pointer dereference in ber_memalloc_x function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2953 │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libldap-common │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5 │ CVE-2020-22916 │ MEDIUM │ │ 5.2.4-1ubuntu1.1 │ │ Denial of service via decompression of crafted file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-22916 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ LOW │ │ 2:8.39-12ubuntu0.1 │ │ OP_KETRMAX feature in the match function in pcre_exec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libprocps8 │ CVE-2023-4016 │ │ │ 2:3.3.16-1ubuntu2.3 │ │ ps buffer overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-3446 │ │ fixed │ 1.1.1f-1ubuntu2.19 │ 1.1.1f-1ubuntu2.20 │ Excessive time spent checking DH keys and parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3817 │ │ │ │ │ Excessive time spent checking DH q parameter value │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2023-26604 │ │ affected │ 245.4-4ubuntu3.22 │ │ privilege escalation via the less pager │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26604 │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libudev1 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ locales │ CVE-2023-5156 │ MEDIUM │ │ 2.31-0ubuntu9.12 │ │ DoS due to memory leak in getaddrinfo.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5156 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2013-4235 │ │ │ 1:4.8.1-1ubuntu5.20.04.4 │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ │ directory trees │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ │ chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2023-3446 │ │ fixed │ 1.1.1f-1ubuntu2.19 │ 1.1.1f-1ubuntu2.20 │ Excessive time spent checking DH keys and parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3817 │ │ │ │ │ Excessive time spent checking DH q parameter value │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2013-4235 │ │ affected │ 1:4.8.1-1ubuntu5.20.04.4 │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ │ directory trees │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ │ chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ procps │ CVE-2023-4016 │ │ │ 2:3.3.16-1ubuntu2.3 │ │ ps buffer overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-30T15:34:45.576-0500 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Java (jar)
==========
Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 16, HIGH: 9, CRITICAL: 2)
┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ fixed │ 18.0 │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-10237 │ MEDIUM │ │ │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ │ 30.0 │ local information disclosure via temporary directory created │
│ │ │ │ │ │ │ with unsafe permissions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.rabbitmq:amqp-client (rabbitmq-client.jar) │ CVE-2023-46120 │ MEDIUM │ │ 5.16.0 │ 5.18.0 │ RabbitMQ Java client's Lack of Message Size Limitation leads │
│ │ │ │ │ │ │ to Remote DoS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-46120 │
├────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (commons-io-2.2.jar) │ CVE-2021-29425 │ │ │ 2.2 │ 2.7 │ apache-commons-io: Limited path traversal in Apache Commons │
│ │ │ │ │ │ │ IO 2.2 to 2.6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29425 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ commons-io:commons-io (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┤ ├──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (netty-handler-4.1.94.Final.jar) │ CVE-2023-4586 │ │ affected │ 4.1.94.Final │ │ Hot Rod client does not enable hostname validation when │
│ │ │ │ │ │ │ using TLS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4586 │
│ │ │ │ │ ├────────────────────────────┤ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ ├────────────────────────────┤ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.avro:avro (avro-1.11.1.jar) │ CVE-2023-39410 │ HIGH │ fixed │ 1.11.1 │ 1.11.3 │ Memory when deserializing untrusted data in Avro Java SDK │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39410 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.derby:derby (derby-10.14.1.0.jar) │ CVE-2018-1313 │ MEDIUM │ │ 10.14.1.0 │ 10.14.2.0 │ derby: Externally-controlled input vulnerability allows │
│ │ │ │ │ │ │ remote attacker to boot a database under... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1313 │
├────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient │ CVE-2015-5262 │ │ │ 4.3.5 │ 4.3.6 │ jakarta-commons-httpclient, httpcomponents-core: missing │
│ (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ HTTPS connection timeout │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-5262 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13956 │ │ │ │ 4.5.13 │ incorrect handling of malformed authority component in │
│ │ │ │ │ │ │ request URIs │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ CRITICAL │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar) │ CVE-2023-33201 │ MEDIUM │ │ 1.71 │ 1.74 │ potential blind LDAP injection attack using a self-signed │
│ │ │ │ │ │ │ certificate │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.22.jar) │ CVE-2022-4244 │ HIGH │ │ 3.0.22 │ 3.0.24 │ Directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4244 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-4245 │ MEDIUM │ │ │ │ XML External Entity (XXE) Injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4245 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2021-37714 │ HIGH │ │ 1.7.2 │ 1.14.2 │ Crafted input may cause the jsoup HTML and XML parser to │
│ │ │ │ │ │ │ get... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2015-6748 │ MEDIUM │ │ │ 1.8.3 │ jsoup: XSS vulnerability related to incomplete tags at EOF │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-6748 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2022-36033 │ │ │ │ 1.15.3 │ The jsoup cleaner may incorrectly sanitize crafted XSS │
│ │ │ │ │ │ │ attempts if SafeList.preserveRelativeLinks is... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-36033 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ HIGH │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34454 │ │ │ │ │ Integer overflow in compress leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34455 │ │ │ │ │ Unchecked chunk length leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43642 │ │ │ │ 1.1.10.4 │ Missing upper bound check on chunk length in snappy-java can │
│ │ │ │ │ │ │ lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43642 │
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-30T15:34:45.635-0500 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Ruby (gemspec)
==============
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ time (time-0.1.0.gemspec) │ CVE-2023-28756 │ HIGH │ fixed │ 0.1.0 │ ~> 0.1.1, >= 0.2.2 │ ReDoS vulnerability in Time │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28756 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ uri (uri-0.11.0.gemspec) │ CVE-2023-28755 │ │ │ 0.11.0 │ ~> 0.10.0.1, ~> 0.10.2, ~> 0.11.1, >= 0.12.1 │ ReDoS vulnerability in URI │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28755 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ │ CVE-2023-36617 │ MEDIUM │ │ │ ~> 0.10.0.3, ~> 0.10.3, ~> 0.11.2, >= 0.12.2 │ ReDoS vulnerability - upstream's incomplete fix for │
│ │ │ │ │ │ │ CVE-2023-28755 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36617 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────┴─────────────────────────────────────────────────────┘
alkuzad
commented
1 year ago This all is because of not-done https://github.com/elastic/logstash/pull/3855 (issue - https://github.com/elastic/logstash/issues/3847) and the fact that included ruby-maven-libs-3.3.9 is 7 years old and unpatched. These issues were closed with the promise that upstream would patch this, but it seems it wasn't done.
It's a bit hard to catch because it does not list dependencies, only "extra_files" with jars.
Why does Logstash need Maven in Runtime? I thought this is a build tool to manage Java dependencies.
mattbaron
commented
9 months ago Next month, the company I work for is blocking all docker images identified as being affected by CVE-2021-26291. This includes the most recent official logstash image (8.12.1), which was released 13 days ago.
Are there any plans to address CVE-2021-26291 "soon"?
williejay2017
commented
7 months ago Any updates on this logstash team? My company is about to do something similar to the post above.
Kartrag
commented
7 months ago I can see Logtsash 8.13 has newer version of ruby-maven-lib 3.8.9 which should fix many CVEs related to Maven, i guess. Still I am not sure on CVE-2023-2976.
Here is the result of running trivy scanner on your logstash docker image. Please fix these!
trivy image --exit-code 1 --no-progress --ignore-unfixed --severity "HIGH,CRITICAL" docker.elastic.co/logstash/logstash:8.9.1
Total: 16 (HIGH: 10, CRITICAL: 6) ┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ 18.0 │ 32.0.0 │ insecure temporary directory creation │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │ ├────────────────────────────────────────────────────────────┤ │ ├───────────────────┤ │ │ │ com.google.guava:guava (guava-31.1-jre.jar) │ │ │ 31.1-jre │ │ │ │ │ │ │ │ │ │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ log4j:log4j (log4j-1.2.17.jar) │ CVE-2019-17571 │ CRITICAL │ 1.2.17 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571 │ │ ├────────────────┼──────────┤ ├───────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-26464 │ HIGH │ │ 2.0 │ DoS via hashmap logging │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26464 │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.logging.log4j:log4j-core (log4j-core-2.9.1.jar) │ CVE-2021-44228 │ CRITICAL │ 2.9.1 │ 2.3.2, 2.12.2, 2.15.0 │ Remote code execution in Log4j 2.x when logs contain an │ │ │ │ │ │ │ attacker-controlled string... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44228 │ │ ├────────────────┤ │ ├───────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-45046 │ │ │ 2.3.1, 2.12.3, 2.17.0 │ DoS in log4j 2.x with thread context message pattern and │ │ │ │ │ │ │ context lookup... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45046 │ ├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │ ├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ CVE-2021-37714 │ HIGH │ 1.7.2 │ 1.14.2 │ jsoup: Crafted input may cause the jsoup HTML and XML parser │ │ │ │ │ │ │ to... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │ ├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34454 │ │ │ │ Integer overflow in compress leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34455 │ │ │ │ Unchecked chunk length leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │ ├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┤ ├──────────────────────────────────────────────────────────────┤ │ org.xerial.snappy:snappy-java (snappy-java-1.1.8.4.jar) │ CVE-2023-34453 │ │ 1.1.8.4 │ │ Integer overflow in shuffle leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34454 │ │ │ │ Integer overflow in compress leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34455 │ │ │ │ Unchecked chunk length leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.yaml:snakeyaml (snakeyaml-1.33.jar) │ CVE-2022-1471 │ CRITICAL │ 1.33 │ 2.0 │ Constructor Deserialization Remote Code Execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │ └────────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────────────┴──────────────────────────────────────────────────────────────┘