BreadGenie
commented
3 years ago A sample scan where I ran the tool against a few python packages (with some other non-python packages mixed among them)
╔══════════════════════════════════════════════════════════════════════════════════════════════════════════════════════╗
║ CVE BINARY TOOL ║
╚══════════════════════════════════════════════════════════════════════════════════════════════════════════════════════╝
• cve-bin-tool Report Generated: 2021-06-25 18:54:50
• Time of last update of CVE Data: 2021-06-25 14:53:50
╭─────────────────╮
│ NewFound CVEs │
╰─────────────────╯
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━━┳━━━━━━━━━┳━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━┳━━━━━━━━━━━━━━━━━━━━━━┓
┃ Vendor ┃ Product ┃ Version ┃ CVE Number ┃ Severity ┃ Score (CVSS Version) ┃
┡━━━━━━━━━━━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━━╇━━━━━━━━━╇━━━━━━━━━━━━━━━━━━╇━━━━━━━━━━╇━━━━━━━━━━━━━━━━━━━━━━┩
│ gnu │ gcc │ 11.1.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gcc │ gcc │ 11.1.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ python_software_foundation │ python │ 3.7.4 │ CVE-2007-4559 │ MEDIUM │ 6.8 (v2) │
│ python │ python │ 3.7.4 │ CVE-2009-2940 │ HIGH │ 7.5 (v2) │
│ python │ python │ 3.7.4 │ CVE-2009-3720 │ MEDIUM │ 5 (v2) │
│ python │ python │ 3.7.4 │ CVE-2019-16056 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.7.4 │ CVE-2019-16935 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.7.4 │ CVE-2019-18348 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.7.4 │ CVE-2019-20907 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-14422 │ MEDIUM │ 5.9 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-15523 │ HIGH │ 7.8 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-26116 │ HIGH │ 7.2 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-27619 │ CRITICAL │ 9.8 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-29396 │ HIGH │ 8.8 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-8315 │ MEDIUM │ 5.5 (v3) │
│ python │ python │ 3.7.4 │ CVE-2020-8492 │ MEDIUM │ 6.5 (v3) │
│ python │ python │ 3.7.4 │ CVE-2021-23336 │ MEDIUM │ 5.9 (v3) │
│ python │ python │ 3.7.4 │ CVE-2021-3177 │ CRITICAL │ 9.8 (v3) │
│ python │ python │ 3.7.4 │ CVE-2021-3426 │ MEDIUM │ 5.7 (v3) │
│ gnu │ gcc │ 11.0.0 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gcc │ gcc │ 11.0.0 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gentoo │ logrotate │ 3.18.0 │ CVE-2011-1548 │ MEDIUM │ 6.3 (v2) │
│ gentoo │ logrotate │ 3.18.0 │ CVE-2011-1549 │ MEDIUM │ 6.3 (v2) │
│ gentoo │ logrotate │ 3.18.0 │ CVE-2011-1550 │ MEDIUM │ 6.3 (v2) │
│ python_software_foundation │ python │ 3.9.7 │ CVE-2007-4559 │ MEDIUM │ 6.8 (v2) │
│ python │ python │ 3.9.7 │ CVE-2009-2940 │ HIGH │ 7.5 (v2) │
│ python │ python │ 3.9.7 │ CVE-2009-3720 │ MEDIUM │ 5 (v2) │
│ python │ python │ 3.9.7 │ CVE-2020-29396 │ HIGH │ 8.8 (v3) │
│ python │ python │ 3.9.7 │ CVE-2021-32052 │ MEDIUM │ 6.1 (v3) │
│ gnu │ gcc │ 8.3.1 │ CVE-2019-15847 │ HIGH │ 7.5 (v3) │
│ gcc │ gcc │ 8.3.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gnu │ gcc │ 8.2.1 │ CVE-2019-15847 │ HIGH │ 7.5 (v3) │
│ gcc │ gcc │ 8.2.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gnu │ gcc │ 10.2.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gcc │ gcc │ 10.2.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gnu │ gcc │ 8.4.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gcc │ gcc │ 8.4.1 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ gnu │ glibc │ 2.27 │ CVE-2009-5155 │ HIGH │ 7.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2010-4756 │ MEDIUM │ 4 (v2) │
│ gnu │ glibc │ 2.27 │ CVE-2013-4412 │ HIGH │ 7.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2015-8985 │ MEDIUM │ 5.9 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2016-10739 │ MEDIUM │ 5.3 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2017-18269 │ CRITICAL │ 9.8 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2018-11236 │ CRITICAL │ 9.8 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2018-11237 │ HIGH │ 7.8 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2018-19591 │ HIGH │ 7.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2018-20796 │ HIGH │ 7.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2019-19126 │ LOW │ 3.3 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2019-25013 │ MEDIUM │ 5.9 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2019-6488 │ HIGH │ 7.8 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2019-7309 │ MEDIUM │ 5.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2019-9169 │ CRITICAL │ 9.8 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2019-9192 │ HIGH │ 7.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2020-10029 │ MEDIUM │ 5.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2020-1751 │ HIGH │ 7 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2020-1752 │ HIGH │ 7 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2020-27618 │ MEDIUM │ 5.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2020-6096 │ HIGH │ 8.1 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2021-3326 │ HIGH │ 7.5 (v3) │
│ gnu │ glibc │ 2.27 │ CVE-2021-33574 │ CRITICAL │ 9.8 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2015-0797 │ MEDIUM │ 6.8 (v2) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2016-10198 │ MEDIUM │ 5.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2016-10199 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2016-9446 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5837 │ MEDIUM │ 5.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5838 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5839 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5840 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5841 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5842 │ MEDIUM │ 5.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5843 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5844 │ MEDIUM │ 5.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5845 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5846 │ MEDIUM │ 5.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5847 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2017-5848 │ HIGH │ 7.5 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2019-9928 │ HIGH │ 8.8 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2021-3497 │ HIGH │ 7.8 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2021-3498 │ HIGH │ 7.8 (v3) │
│ gstreamer_project │ gstreamer │ 1.0 │ CVE-2021-3522 │ MEDIUM │ 5.5 (v3) │
│ libexpat │ expat │ 2.2.8 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
│ libexpat_project │ libexpat │ 2.2.8 │ CVE-2013-0340 │ MEDIUM │ 6.8 (v2) │
│ python_software_foundation │ python │ 2.7.18 │ CVE-2007-4559 │ MEDIUM │ 6.8 (v2) │
│ python │ python │ 2.7.18 │ CVE-2009-2940 │ HIGH │ 7.5 (v2) │
│ python │ python │ 2.7.18 │ CVE-2009-3720 │ MEDIUM │ 5 (v2) │
│ python │ python │ 2.7.18 │ CVE-2015-5652 │ HIGH │ 7.2 (v2) │
│ python │ python │ 2.7.18 │ CVE-2017-17522 │ HIGH │ 8.8 (v3) │
│ python │ python │ 2.7.18 │ CVE-2017-18207 │ MEDIUM │ 6.5 (v3) │
│ python │ python │ 2.7.18 │ CVE-2019-20907 │ HIGH │ 7.5 (v3) │
│ python │ python │ 2.7.18 │ CVE-2019-9674 │ HIGH │ 7.5 (v3) │
│ python │ python │ 2.7.18 │ CVE-2021-23336 │ MEDIUM │ 5.9 (v3) │
│ python │ python │ 2.7.18 │ CVE-2021-28667 │ HIGH │ 7.5 (v3) │
│ python_software_foundation │ python │ 3.4.2 │ CVE-2007-4559 │ MEDIUM │ 6.8 (v2) │
│ python │ python │ 3.4.2 │ CVE-2009-2940 │ HIGH │ 7.5 (v2) │
│ python │ python │ 3.4.2 │ CVE-2009-3720 │ MEDIUM │ 5 (v2) │
│ python │ python │ 3.4.2 │ CVE-2013-1753 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2014-2667 │ LOW │ 3.3 (v2) │
│ python │ python │ 3.4.2 │ CVE-2014-4616 │ MEDIUM │ 5.9 (v3) │
│ python │ python │ 3.4.2 │ CVE-2014-9365 │ MEDIUM │ 5.8 (v2) │
│ python │ python │ 3.4.2 │ CVE-2015-5652 │ HIGH │ 7.2 (v2) │
│ python │ python │ 3.4.2 │ CVE-2016-0772 │ MEDIUM │ 6.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2016-5636 │ CRITICAL │ 9.8 (v3) │
│ python │ python │ 3.4.2 │ CVE-2016-5699 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.4.2 │ CVE-2017-17522 │ HIGH │ 8.8 (v3) │
│ python │ python │ 3.4.2 │ CVE-2017-18207 │ MEDIUM │ 6.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2018-1000117 │ MEDIUM │ 6.7 (v3) │
│ python │ python │ 3.4.2 │ CVE-2018-1060 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2018-1061 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2018-14647 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2018-20406 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2018-20852 │ MEDIUM │ 5.3 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-13404 │ HIGH │ 7.8 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-16056 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-16935 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-18348 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-20907 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-5010 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-9636 │ CRITICAL │ 9.8 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-9674 │ HIGH │ 7.5 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-9740 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.4.2 │ CVE-2019-9947 │ MEDIUM │ 6.1 (v3) │
│ python │ python │ 3.4.2 │ CVE-2020-14422 │ MEDIUM │ 5.9 (v3) │
│ python │ python │ 3.4.2 │ CVE-2020-26116 │ HIGH │ 7.2 (v3) │
│ python │ python │ 3.4.2 │ CVE-2020-27619 │ CRITICAL │ 9.8 (v3) │
│ python │ python │ 3.4.2 │ CVE-2021-23336 │ MEDIUM │ 5.9 (v3) │
│ ftp │ ftp │ 0.17 │ CVE-1999-0082 │ HIGH │ 10 (v2) │
│ ftp │ ftp │ 0.17 │ CVE-1999-0201 │ MEDIUM │ 6.4 (v2) │
│ openssl │ openssl │ 1.1.1 │ CVE-2009-1390 │ MEDIUM │ 6.8 (v2) │
│ openssl │ openssl │ 1.1.1 │ CVE-2009-3765 │ MEDIUM │ 6.8 (v2) │
│ openssl │ openssl │ 1.1.1 │ CVE-2009-3766 │ MEDIUM │ 6.8 (v2) │
│ openssl │ openssl │ 1.1.1 │ CVE-2009-3767 │ MEDIUM │ 4.3 (v2) │
│ openssl │ openssl │ 1.1.1 │ CVE-2018-0734 │ MEDIUM │ 5.9 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2018-0735 │ MEDIUM │ 5.9 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-0190 │ HIGH │ 7.5 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-1543 │ HIGH │ 7.4 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-1547 │ MEDIUM │ 4.7 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-1549 │ MEDIUM │ 5.3 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-1551 │ MEDIUM │ 5.3 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-1552 │ LOW │ 3.3 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2019-1563 │ LOW │ 3.7 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2020-1971 │ MEDIUM │ 5.9 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2021-23840 │ HIGH │ 7.5 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2021-23841 │ MEDIUM │ 5.9 (v3) │
│ openssl │ openssl │ 1.1.1 │ CVE-2021-3449 │ MEDIUM │ 5.9 (v3) │
│ openvpn │ openvpn │ 2.5.3 │ UNKNOWN │ UNKNOWN │ 0 (v0) │
└────────────────────────────┴───────────┴─────────┴──────────────────┴──────────┴──────────────────────┘
After merging #1171 the python checker is reporting CVEs but with versions from the python package. My guess is that it is due to https://github.com/intel/cve-bin-tool/blob/d55ade921384cc309870d583e60ed3eccbd6e500/cve_bin_tool/checkers/python.py#L52 and the python packages having the same pattern in
METADATAandPKG-INFOfiles.A quick fix would be removing that line since we have 2 other patterns to detect the version.