dvonessen
commented
2 years ago I too did a security scan with Trivy from Aquasecurity.
Trivy too did found some issues with the sops binary in version 3.7.3. See below:
usr/local/bin/sops (gobinary)
=============================
Total: 6 (UNKNOWN: 3, LOW: 1, MEDIUM: 1, HIGH: 1, CRITICAL: 0)
┌───────────────────────────┬─────────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ v1.43.43 │ │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │
│ │ │ │ │ │ SDK for golang... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ │ CVE-2020-8912 │ LOW │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │
│ │ │ │ │ │ SDK for golang... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ │ GHSA-7f33-f4f5-xwgw │ UNKNOWN │ │ │ The Go AWS S3 Crypto SDK contains vulnerabilities that can │
│ │ │ │ │ │ permit an... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-7f33-f4f5-xwgw │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ │ GHSA-f5pg-7wfw-84q9 │ │ │ │ The Go AWS S3 Crypto SDK contains vulnerabilities that can │
│ │ │ │ │ │ permit an... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-f5pg-7wfw-84q9 │
├───────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2022-27664 │ HIGH │ v0.0.0-202204201531[59](https://git.tech.rz.db.de/serviceteamdbv2/dbv1-cdk/-/jobs/94927361#L59)-1850ba15e1be │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
├───────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/text │ CVE-2022-32149 │ UNKNOWN │ v0.3.7 │ 0.3.8 │ An attacker may cause a denial of service by crafting an │
│ │ │ │ │ │ Accept-Language │
│ │ │ │ │ │ header... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │
└───────────────────────────┴─────────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘Thanks for fixing those vulnerabilities.
Hi! Can you fix this issue. I scanned my docker image with sops installed v3.7.3 and it gives me: