rajir8
commented
1 year ago any updates on the fix for these vulnerabilities?
Open wargamez opened 1 year ago
rajir8
commented
1 year ago any updates on the fix for these vulnerabilities?
joancafom
commented
11 months ago The latest release of the docker image 8.10.2 does also report several CVEs related (mainly) to dependencies. Are there any plans to update this?
$ trivy image --vuln-type library docker.elastic.co/logstash/logstash:8.10.2
Java (jar)
Total: 27 (UNKNOWN: 0, LOW: 1, MEDIUM: 12, HIGH: 11, CRITICAL: 3)
┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ fixed │ 18.0 │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-10237 │ MEDIUM │ │ │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ │ 30.0 │ local information disclosure via temporary directory created │
│ │ │ │ │ │ │ with unsafe permissions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-31.1-jre.jar) │ CVE-2023-2976 │ HIGH │ │ 31.1-jre │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (commons-io-2.2.jar) │ CVE-2021-29425 │ MEDIUM │ │ 2.2 │ 2.7 │ apache-commons-io: Limited path traversal in Apache Commons │
│ │ │ │ │ │ │ IO 2.2 to 2.6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29425 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ commons-io:commons-io (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.avro:avro (avro-1.11.1.jar) │ CVE-2023-39410 │ HIGH │ │ 1.11.1 │ 1.11.3 │ Apache Avro Java SDK vulnerable to Improper Input Validation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39410 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.derby:derby (derby-10.14.1.0.jar) │ CVE-2018-1313 │ MEDIUM │ │ 10.14.1.0 │ 10.14.2.0 │ derby: Externally-controlled input vulnerability allows │
│ │ │ │ │ │ │ remote attacker to boot a database under... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1313 │
├────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient │ CVE-2015-5262 │ │ │ 4.3.5 │ 4.3.6 │ jakarta-commons-httpclient, httpcomponents-core: missing │
│ (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ HTTPS connection timeout │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-5262 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13956 │ │ │ │ 4.5.13 │ incorrect handling of malformed authority component in │
│ │ │ │ │ │ │ request URIs │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ CRITICAL │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar) │ CVE-2023-33201 │ MEDIUM │ │ 1.71 │ 1.74 │ potential blind LDAP injection attack using a self-signed │
│ │ │ │ │ │ │ certificate │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.22.jar) │ CVE-2022-4244 │ HIGH │ │ 3.0.22 │ 3.0.24 │ Directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4244 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-4245 │ MEDIUM │ │ │ │ XML External Entity (XXE) Injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4245 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2021-37714 │ HIGH │ │ 1.7.2 │ 1.14.2 │ Crafted input may cause the jsoup HTML and XML parser to │
│ │ │ │ │ │ │ get... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2015-6748 │ MEDIUM │ │ │ 1.8.3 │ jsoup: XSS vulnerability related to incomplete tags at EOF │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-6748 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2022-36033 │ │ │ │ 1.15.3 │ The jsoup cleaner may incorrectly sanitize crafted XSS │
│ │ │ │ │ │ │ attempts if SafeList.preserveRelativeLinks is... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-36033 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ HIGH │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34454 │ │ │ │ │ Integer overflow in compress leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34455 │ │ │ │ │ Unchecked chunk length leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43642 │ │ │ │ 1.1.10.4 │ Missing upper bound check on chunk length in snappy-java can │
│ │ │ │ │ │ │ lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43642 │
├────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┤ │ │
│ org.xerial.snappy:snappy-java (snappy-java-1.1.10.1.jar) │ │ │ │ 1.1.10.1 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (logstash-filter-useragent-3.3.4.jar) │ CVE-2022-1471 │ CRITICAL │ │ 1.33 │ 2.0 │ Constructor Deserialization Remote Code Execution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-04T16:09:26.558Z INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Ruby (gemspec)
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ time (time-0.1.0.gemspec) │ CVE-2023-28756 │ HIGH │ fixed │ 0.1.0 │ ~> 0.1.1, >= 0.2.2 │ ReDoS vulnerability in Time │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28756 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ uri (uri-0.11.0.gemspec) │ CVE-2023-28755 │ │ │ 0.11.0 │ ~> 0.10.0.1, ~> 0.10.2, ~> 0.11.1, >= 0.12.1 │ ReDoS vulnerability in URI │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28755 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ │ CVE-2023-36617 │ MEDIUM │ │ │ ~> 0.10.0.3, ~> 0.10.3, ~> 0.11.2, >= 0.12.2 │ ReDoS vulnerability - upstream's incomplete fix for │
│ │ │ │ │ │ │ CVE-2023-28755 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36617 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────┴─────────────────────────────────────────────────────┘
chadmyers
commented
10 months ago From the 8.10.4 version:
docker.elastic.co/logstash/logstash:8.10.4 (ubuntu 20.04)
=========================================================
Total: 31 (UNKNOWN: 0, LOW: 22, MEDIUM: 9, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ LOW │ affected │ 8.30-3ubuntu2 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2023-38546 │ │ fixed │ 7.68.0-1ubuntu2.19 │ 7.68.0-1ubuntu2.20 │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ affected │ 2.2.19-3ubuntu2.2 │ │ denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ krb5-locales │ CVE-2023-36054 │ MEDIUM │ │ 1.17-6ubuntu4.3 │ │ Denial of service through freeing uninitialized pointer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2023-5156 │ │ │ 2.31-0ubuntu9.12 │ │ DoS due to memory leak in getaddrinfo.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5156 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2023-5156 │ MEDIUM │ │ │ │ DoS due to memory leak in getaddrinfo.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5156 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4 │ CVE-2023-38546 │ │ fixed │ 7.68.0-1ubuntu2.19 │ 7.68.0-1ubuntu2.20 │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2023-36054 │ MEDIUM │ affected │ 1.17-6ubuntu4.3 │ │ Denial of service through freeing uninitialized pointer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libk5crypto3 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libkrb5-3 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libkrb5support0 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.4-2 │ CVE-2023-2953 │ LOW │ │ 2.4.49+dfsg-2ubuntu1.9 │ │ null pointer dereference in ber_memalloc_x function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2953 │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libldap-common │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5 │ CVE-2020-22916 │ MEDIUM │ │ 5.2.4-1ubuntu1.1 │ │ Denial of service via decompression of crafted file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-22916 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ LOW │ │ 2:8.39-12ubuntu0.1 │ │ OP_KETRMAX feature in the match function in pcre_exec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libprocps8 │ CVE-2023-4016 │ │ │ 2:3.3.16-1ubuntu2.3 │ │ ps buffer overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-3446 │ │ fixed │ 1.1.1f-1ubuntu2.19 │ 1.1.1f-1ubuntu2.20 │ Excessive time spent checking DH keys and parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3817 │ │ │ │ │ Excessive time spent checking DH q parameter value │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2023-26604 │ │ affected │ 245.4-4ubuntu3.22 │ │ privilege escalation via the less pager │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26604 │
├──────────────────┤ │ │ │ ├────────────────────┤ │
│ libudev1 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ locales │ CVE-2023-5156 │ MEDIUM │ │ 2.31-0ubuntu9.12 │ │ DoS due to memory leak in getaddrinfo.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5156 │
│ ├────────────────┼──────────┤ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-20013 │ LOW │ │ │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2013-4235 │ │ │ 1:4.8.1-1ubuntu5.20.04.4 │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ │ directory trees │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ │ chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2023-3446 │ │ fixed │ 1.1.1f-1ubuntu2.19 │ 1.1.1f-1ubuntu2.20 │ Excessive time spent checking DH keys and parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3817 │ │ │ │ │ Excessive time spent checking DH q parameter value │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │
├──────────────────┼────────────────┤ ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2013-4235 │ │ affected │ 1:4.8.1-1ubuntu5.20.04.4 │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ │ directory trees │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├────────────────┤ │ │ ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ │ chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ procps │ CVE-2023-4016 │ │ │ 2:3.3.16-1ubuntu2.3 │ │ ps buffer overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-30T15:34:45.576-0500 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Java (jar)
==========
Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 16, HIGH: 9, CRITICAL: 2)
┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ fixed │ 18.0 │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-10237 │ MEDIUM │ │ │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │
│ │ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8908 │ LOW │ │ │ 30.0 │ local information disclosure via temporary directory created │
│ │ │ │ │ │ │ with unsafe permissions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.rabbitmq:amqp-client (rabbitmq-client.jar) │ CVE-2023-46120 │ MEDIUM │ │ 5.16.0 │ 5.18.0 │ RabbitMQ Java client's Lack of Message Size Limitation leads │
│ │ │ │ │ │ │ to Remote DoS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-46120 │
├────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (commons-io-2.2.jar) │ CVE-2021-29425 │ │ │ 2.2 │ 2.7 │ apache-commons-io: Limited path traversal in Apache Commons │
│ │ │ │ │ │ │ IO 2.2 to 2.6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29425 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ commons-io:commons-io (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┤ ├──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (netty-handler-4.1.94.Final.jar) │ CVE-2023-4586 │ │ affected │ 4.1.94.Final │ │ Hot Rod client does not enable hostname validation when │
│ │ │ │ │ │ │ using TLS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4586 │
│ │ │ │ │ ├────────────────────────────┤ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ ├────────────────────────────┤ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.avro:avro (avro-1.11.1.jar) │ CVE-2023-39410 │ HIGH │ fixed │ 1.11.1 │ 1.11.3 │ Memory when deserializing untrusted data in Avro Java SDK │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39410 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.derby:derby (derby-10.14.1.0.jar) │ CVE-2018-1313 │ MEDIUM │ │ 10.14.1.0 │ 10.14.2.0 │ derby: Externally-controlled input vulnerability allows │
│ │ │ │ │ │ │ remote attacker to boot a database under... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1313 │
├────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient │ CVE-2015-5262 │ │ │ 4.3.5 │ 4.3.6 │ jakarta-commons-httpclient, httpcomponents-core: missing │
│ (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ HTTPS connection timeout │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-5262 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13956 │ │ │ │ 4.5.13 │ incorrect handling of malformed authority component in │
│ │ │ │ │ │ │ request URIs │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ CRITICAL │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar) │ CVE-2023-33201 │ MEDIUM │ │ 1.71 │ 1.74 │ potential blind LDAP injection attack using a self-signed │
│ │ │ │ │ │ │ certificate │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.22.jar) │ CVE-2022-4244 │ HIGH │ │ 3.0.22 │ 3.0.24 │ Directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4244 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-4245 │ MEDIUM │ │ │ │ XML External Entity (XXE) Injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4245 │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2021-37714 │ HIGH │ │ 1.7.2 │ 1.14.2 │ Crafted input may cause the jsoup HTML and XML parser to │
│ │ │ │ │ │ │ get... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2015-6748 │ MEDIUM │ │ │ 1.8.3 │ jsoup: XSS vulnerability related to incomplete tags at EOF │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-6748 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2022-36033 │ │ │ │ 1.15.3 │ The jsoup cleaner may incorrectly sanitize crafted XSS │
│ │ │ │ │ │ │ attempts if SafeList.preserveRelativeLinks is... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-36033 │
├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ HIGH │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34454 │ │ │ │ │ Integer overflow in compress leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34455 │ │ │ │ │ Unchecked chunk length leads to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │
│ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43642 │ │ │ │ 1.1.10.4 │ Missing upper bound check on chunk length in snappy-java can │
│ │ │ │ │ │ │ lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43642 │
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-30T15:34:45.635-0500 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Ruby (gemspec)
==============
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ time (time-0.1.0.gemspec) │ CVE-2023-28756 │ HIGH │ fixed │ 0.1.0 │ ~> 0.1.1, >= 0.2.2 │ ReDoS vulnerability in Time │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28756 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ uri (uri-0.11.0.gemspec) │ CVE-2023-28755 │ │ │ 0.11.0 │ ~> 0.10.0.1, ~> 0.10.2, ~> 0.11.1, >= 0.12.1 │ ReDoS vulnerability in URI │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28755 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ │ CVE-2023-36617 │ MEDIUM │ │ │ ~> 0.10.0.3, ~> 0.10.3, ~> 0.11.2, >= 0.12.2 │ ReDoS vulnerability - upstream's incomplete fix for │
│ │ │ │ │ │ │ CVE-2023-28755 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36617 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────┴─────────────────────────────────────────────────────┘
alkuzad
commented
9 months ago This all is because of not-done https://github.com/elastic/logstash/pull/3855 (issue - https://github.com/elastic/logstash/issues/3847) and the fact that included ruby-maven-libs-3.3.9 is 7 years old and unpatched. These issues were closed with the promise that upstream would patch this, but it seems it wasn't done.
It's a bit hard to catch because it does not list dependencies, only "extra_files" with jars.
Why does Logstash need Maven in Runtime? I thought this is a build tool to manage Java dependencies.
mattbaron
commented
6 months ago Next month, the company I work for is blocking all docker images identified as being affected by CVE-2021-26291. This includes the most recent official logstash image (8.12.1), which was released 13 days ago.
Are there any plans to address CVE-2021-26291 "soon"?
williejay2017
commented
5 months ago Any updates on this logstash team? My company is about to do something similar to the post above.
Kartrag
commented
5 months ago I can see Logtsash 8.13 has newer version of ruby-maven-lib 3.8.9 which should fix many CVEs related to Maven, i guess. Still I am not sure on CVE-2023-2976.
Here is the result of running trivy scanner on your logstash docker image. Please fix these!
trivy image --exit-code 1 --no-progress --ignore-unfixed --severity "HIGH,CRITICAL" docker.elastic.co/logstash/logstash:8.9.1
Total: 16 (HIGH: 10, CRITICAL: 6) ┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ 18.0 │ 32.0.0 │ insecure temporary directory creation │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │ ├────────────────────────────────────────────────────────────┤ │ ├───────────────────┤ │ │ │ com.google.guava:guava (guava-31.1-jre.jar) │ │ │ 31.1-jre │ │ │ │ │ │ │ │ │ │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ log4j:log4j (log4j-1.2.17.jar) │ CVE-2019-17571 │ CRITICAL │ 1.2.17 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571 │ │ ├────────────────┼──────────┤ ├───────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-26464 │ HIGH │ │ 2.0 │ DoS via hashmap logging │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26464 │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.logging.log4j:log4j-core (log4j-core-2.9.1.jar) │ CVE-2021-44228 │ CRITICAL │ 2.9.1 │ 2.3.2, 2.12.2, 2.15.0 │ Remote code execution in Log4j 2.x when logs contain an │ │ │ │ │ │ │ attacker-controlled string... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44228 │ │ ├────────────────┤ │ ├───────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-45046 │ │ │ 2.3.1, 2.12.3, 2.17.0 │ DoS in log4j 2.x with thread context message pattern and │ │ │ │ │ │ │ context lookup... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45046 │ ├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │ ├────────────────────────────────────────────────────────────┤ │ │ │ │ │ │ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ CVE-2021-37714 │ HIGH │ 1.7.2 │ 1.14.2 │ jsoup: Crafted input may cause the jsoup HTML and XML parser │ │ │ │ │ │ │ to... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │ ├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34454 │ │ │ │ Integer overflow in compress leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34455 │ │ │ │ Unchecked chunk length leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │ ├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┤ ├──────────────────────────────────────────────────────────────┤ │ org.xerial.snappy:snappy-java (snappy-java-1.1.8.4.jar) │ CVE-2023-34453 │ │ 1.1.8.4 │ │ Integer overflow in shuffle leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34454 │ │ │ │ Integer overflow in compress leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34455 │ │ │ │ Unchecked chunk length leads to DoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │ ├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.yaml:snakeyaml (snakeyaml-1.33.jar) │ CVE-2022-1471 │ CRITICAL │ 1.33 │ 2.0 │ Constructor Deserialization Remote Code Execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │ └────────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────────────┴──────────────────────────────────────────────────────────────┘