search

fescobar / allure-docker-service-ui

Allure Docker Service UI provides a friendly user interface for frankescobar/allure-docker-service API container.
Apache License 2.0
83 stars 43 forks source link

Doing any updates to vulnerabilities in 7.0.3 version? #37

Open Mattias-clearroute opened 1 year ago

Mattias-clearroute commented 1 year ago

Hi, do you have any plans on updating the attached vulnerabilities in the allure docker service ui (ran with trivy security scanner) or is it best to fork the repo ourselves and do so in the image?

frankescobar/allure-docker-service-ui (debian 10.5)

Total: 25 (CRITICAL: 25)


┌────────────────┬────────────────┬──────────┬──────────────┬───────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐
│    Library     │ Vulnerability  │ Severity │    Status    │   Installed Version   │      Fixed Version      │                            Title                             │
├────────────────┼────────────────┼──────────┼──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl           │ CVE-2022-32221 │ CRITICAL │ fixed        │ 7.64.0-4+deb10u1      │ 7.64.0-4+deb10u4        │ POST following PUT confusion                                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-32221                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ dpkg           │ CVE-2022-1664  │          │              │ 1.19.7                │ 1.19.8                  │ Dpkg::Source::Archive in dpkg, the Debian package management │
│                │                │          │              │                       │                         │ system, b ...                                                │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-1664                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin       │ CVE-2021-33574 │          │              │ 2.28-10               │ 2.28-10+deb10u2         │ mq_notify does not handle separately allocated thread        │
│                │                │          │              │                       │                         │ attributes                                                   │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-33574                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2021-35942 │          │              │                       │                         │ glibc: Arbitrary read in wordexp()                           │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-35942                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23218 │          │              │                       │                         │ glibc: Stack-based buffer overflow in svcunix_create via     │
│                │                │          │              │                       │                         │ long pathnames                                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23218                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23219 │          │              │                       │                         │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │
│                │                │          │              │                       │                         │ a long pathname                                              │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23219                   │
├────────────────┼────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│ libc6          │ CVE-2021-33574 │          │              │                       │                         │ mq_notify does not handle separately allocated thread        │
│                │                │          │              │                       │                         │ attributes                                                   │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-33574                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2021-35942 │          │              │                       │                         │ glibc: Arbitrary read in wordexp()                           │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-35942                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23218 │          │              │                       │                         │ glibc: Stack-based buffer overflow in svcunix_create via     │
│                │                │          │              │                       │                         │ long pathnames                                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23218                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23219 │          │              │                       │                         │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │
│                │                │          │              │                       │                         │ a long pathname                                              │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23219                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4       │ CVE-2022-32221 │          │              │ 7.64.0-4+deb10u1      │ 7.64.0-4+deb10u4        │ POST following PUT confusion                                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-32221                   │
├────────────────┼────────────────┤          ├──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3       │ CVE-2019-8457  │          │ will_not_fix │ 5.3.28+dfsg1-0.5      │                         │ sqlite: heap out-of-bound read in function rtreenode()       │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2019-8457                    │
├────────────────┼────────────────┤          ├──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30    │ CVE-2021-20231 │          │ fixed        │ 3.6.7-4+deb10u5       │ 3.6.7-4+deb10u7         │ gnutls: Use after free in client key_share extension         │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-20231                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2021-20232 │          │              │                       │                         │ gnutls: Use after free in client_send_params in              │
│                │                │          │              │                       │                         │ lib/ext/pre_shared_key.c                                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-20232                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.4-2  │ CVE-2022-29155 │          │              │ 2.4.47+dfsg-3+deb10u4 │ 2.4.47+dfsg-3+deb10u7   │ openldap: OpenLDAP SQL injection                             │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-29155                   │
├────────────────┤                │          │              │                       │                         │                                                              │
│ libldap-common │                │          │              │                       │                         │                                                              │
│                │                │          │              │                       │                         │                                                              │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblz4-1       │ CVE-2021-3520  │          │              │ 1.8.3-1               │ 1.8.3-1+deb10u1         │ memory corruption due to an integer overflow bug caused by   │
│                │                │          │              │                       │                         │ memmove argument...                                          │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-3520                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1      │ CVE-2021-3711  │          │              │ 1.1.1d-0+deb10u4      │ 1.1.1d-0+deb10u7        │ SM2 Decryption Buffer Overflow                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-3711                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-1292  │          │              │                       │ 1.1.1n-0+deb10u2        │ c_rehash script allows command injection                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-1292                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-2068  │          │              │                       │ 1.1.1n-0+deb10u3        │ the c_rehash script allows command injection                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-2068                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtasn1-6     │ CVE-2021-46848 │          │              │ 4.13-3                │ 4.13-3+deb10u1          │ libtasn1: Out-of-bound access in ETYPE_OK                    │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-46848                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl        │ CVE-2021-3711  │          │              │ 1.1.1d-0+deb10u4      │ 1.1.1d-0+deb10u7        │ SM2 Decryption Buffer Overflow                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-3711                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-1292  │          │              │                       │ 1.1.1n-0+deb10u2        │ c_rehash script allows command injection                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-1292                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-2068  │          │              │                       │ 1.1.1n-0+deb10u3        │ the c_rehash script allows command injection                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-2068                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g         │ CVE-2022-37434 │          │              │ 1:1.2.11.dfsg-1       │ 1:1.2.11.dfsg-1+deb10u2 │ heap-based buffer over-read and overflow in inflate() in     │
│                │                │          │              │                       │                         │ inflate.c via a large...                                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-37434                   │
└────────────────┴────────────────┴──────────┴──────────────┴───────────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘

Node.js (node-pkg)
==================
Total: 3 (CRITICAL: 3)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                   Title                    │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────┤
│ json-schema (package.json) │ CVE-2021-3918  │ CRITICAL │ fixed  │ 0.2.3             │ 0.4.0         │ Prototype pollution vulnerability          │
│                            │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2021-3918  │
├────────────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼────────────────────────────────────────────┤
│ minimist (package.json)    │ CVE-2021-44906 │          │        │ 1.2.5             │ 1.2.6, 0.2.4  │ prototype pollution                        │
│                            │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2021-44906 │
│                            │                │          │        │                   │               │                                            │
│                            │                │          │        │                   │               │                                            │
│                            │                │          │        │                   │               │                                            │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────┘
fescobar commented 6 months ago

I will release the update in a few days.