Open Mattias-clearroute opened 1 year ago
Hi, do you have any plans on updating the attached vulnerabilities in the allure docker service ui (ran with trivy security scanner) or is it best to fork the repo ourselves and do so in the image?
Total: 25 (CRITICAL: 25)
┌────────────────┬────────────────┬──────────┬──────────────┬───────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────┼────────────────┼──────────┼──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ curl │ CVE-2022-32221 │ CRITICAL │ fixed │ 7.64.0-4+deb10u1 │ 7.64.0-4+deb10u4 │ POST following PUT confusion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32221 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ dpkg │ CVE-2022-1664 │ │ │ 1.19.7 │ 1.19.8 │ Dpkg::Source::Archive in dpkg, the Debian package management │ │ │ │ │ │ │ │ system, b ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1664 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libc-bin │ CVE-2021-33574 │ │ │ 2.28-10 │ 2.28-10+deb10u2 │ mq_notify does not handle separately allocated thread │ │ │ │ │ │ │ │ attributes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33574 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-35942 │ │ │ │ │ glibc: Arbitrary read in wordexp() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35942 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23218 │ │ │ │ │ glibc: Stack-based buffer overflow in svcunix_create via │ │ │ │ │ │ │ │ long pathnames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23218 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23219 │ │ │ │ │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │ │ │ │ │ │ │ │ a long pathname │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23219 │ ├────────────────┼────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ libc6 │ CVE-2021-33574 │ │ │ │ │ mq_notify does not handle separately allocated thread │ │ │ │ │ │ │ │ attributes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33574 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-35942 │ │ │ │ │ glibc: Arbitrary read in wordexp() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35942 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23218 │ │ │ │ │ glibc: Stack-based buffer overflow in svcunix_create via │ │ │ │ │ │ │ │ long pathnames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23218 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23219 │ │ │ │ │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │ │ │ │ │ │ │ │ a long pathname │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23219 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libcurl4 │ CVE-2022-32221 │ │ │ 7.64.0-4+deb10u1 │ 7.64.0-4+deb10u4 │ POST following PUT confusion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32221 │ ├────────────────┼────────────────┤ ├──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libdb5.3 │ CVE-2019-8457 │ │ will_not_fix │ 5.3.28+dfsg1-0.5 │ │ sqlite: heap out-of-bound read in function rtreenode() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │ ├────────────────┼────────────────┤ ├──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libgnutls30 │ CVE-2021-20231 │ │ fixed │ 3.6.7-4+deb10u5 │ 3.6.7-4+deb10u7 │ gnutls: Use after free in client key_share extension │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20231 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-20232 │ │ │ │ │ gnutls: Use after free in client_send_params in │ │ │ │ │ │ │ │ lib/ext/pre_shared_key.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20232 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libldap-2.4-2 │ CVE-2022-29155 │ │ │ 2.4.47+dfsg-3+deb10u4 │ 2.4.47+dfsg-3+deb10u7 │ openldap: OpenLDAP SQL injection │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29155 │ ├────────────────┤ │ │ │ │ │ │ │ libldap-common │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ liblz4-1 │ CVE-2021-3520 │ │ │ 1.8.3-1 │ 1.8.3-1+deb10u1 │ memory corruption due to an integer overflow bug caused by │ │ │ │ │ │ │ │ memmove argument... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3520 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2021-3711 │ │ │ 1.1.1d-0+deb10u4 │ 1.1.1d-0+deb10u7 │ SM2 Decryption Buffer Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3711 │ │ ├────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-1292 │ │ │ │ 1.1.1n-0+deb10u2 │ c_rehash script allows command injection │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1292 │ │ ├────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2068 │ │ │ │ 1.1.1n-0+deb10u3 │ the c_rehash script allows command injection │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2068 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libtasn1-6 │ CVE-2021-46848 │ │ │ 4.13-3 │ 4.13-3+deb10u1 │ libtasn1: Out-of-bound access in ETYPE_OK │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-46848 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ openssl │ CVE-2021-3711 │ │ │ 1.1.1d-0+deb10u4 │ 1.1.1d-0+deb10u7 │ SM2 Decryption Buffer Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3711 │ │ ├────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-1292 │ │ │ │ 1.1.1n-0+deb10u2 │ c_rehash script allows command injection │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1292 │ │ ├────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2068 │ │ │ │ 1.1.1n-0+deb10u3 │ the c_rehash script allows command injection │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2068 │ ├────────────────┼────────────────┤ │ ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ zlib1g │ CVE-2022-37434 │ │ │ 1:1.2.11.dfsg-1 │ 1:1.2.11.dfsg-1+deb10u2 │ heap-based buffer over-read and overflow in inflate() in │ │ │ │ │ │ │ │ inflate.c via a large... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37434 │ └────────────────┴────────────────┴──────────┴──────────────┴───────────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘ Node.js (node-pkg) ================== Total: 3 (CRITICAL: 3) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────┤ │ json-schema (package.json) │ CVE-2021-3918 │ CRITICAL │ fixed │ 0.2.3 │ 0.4.0 │ Prototype pollution vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3918 │ ├────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼────────────────────────────────────────────┤ │ minimist (package.json) │ CVE-2021-44906 │ │ │ 1.2.5 │ 1.2.6, 0.2.4 │ prototype pollution │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44906 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────┘
I will release the update in a few days.
Hi, do you have any plans on updating the attached vulnerabilities in the allure docker service ui (ran with trivy security scanner) or is it best to fork the repo ourselves and do so in the image?
frankescobar/allure-docker-service-ui (debian 10.5)
Total: 25 (CRITICAL: 25)