github-actions[bot]
commented
5 months ago This issue is stale because it has been open 30 days with no activity. Remove stale label or comment or this will be closed in 5 days.
Closed github-actions[bot] closed 5 months ago
github-actions[bot]
commented
5 months ago This issue is stale because it has been open 30 days with no activity. Remove stale label or comment or this will be closed in 5 days.
Trivy scan was failured !!!
Here's who did it: @koei-kaji.
commit hash: 0436c61877506de94bfac5c4350b982e2c729c57
actions: https://github.com/koei-kaji/reusable-github-actions/actions/runs/8903733841
Show Trivy Results
``` ┌──────────────┬────────────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ busybox │ CVE-2022-30065 │ HIGH │ 1.35.0-r13 │ 1.35.0-r15 │ busybox: A use-after-free in Busybox's awk applet leads to │ │ │ │ │ │ │ denial of service... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30065 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2022-4450 │ HIGH │ 1.1.1o-r0 │ 1.1.1t-r0 │ openssl: double free after calling PEM_read_bio_ex │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4450 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-0215 │ │ │ │ openssl: use-after-free following BIO_new_NDEF │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0215 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-0286 │ │ │ │ openssl: X.400 address type confusion in X.509 GeneralName │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0286 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2023-0464 │ HIGH │ 1.1.1o-r0 │ 1.1.1t-r1 │ openssl: Denial of service by excessive resource usage in │ │ │ │ │ │ │ verifying X509 policy... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2022-2097 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1q-r0 │ openssl: AES OCB fails to encrypt some bytes │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │ │ ├────────────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2022-4304 │ │ │ 1.1.1t-r0 │ openssl: timing attack in RSA Decryption implementation │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4304 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2023-0465 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1t-r2 │ openssl: Invalid certificate policies in leaf certificates │ │ │ │ │ │ │ are silently ignored │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2023-2650 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1u-r0 │ openssl: Possible DoS translating ASN.1 object identifiers │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2023-3446 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1u-r2 │ openssl: Excessive time spent checking DH keys and │ │ │ │ │ │ │ parameters │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2023-3817 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1v-r0 │ OpenSSL: Excessive time spent checking DH q parameter value │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto1.1 │ CVE-2023-5678 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1w-r1 │ openssl: Generating excessively long X9.42 DH keys or │ │ │ │ │ │ │ checking excessively long X9.42... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5678 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2022-4450 │ HIGH │ 1.1.1o-r0 │ 1.1.1t-r0 │ openssl: double free after calling PEM_read_bio_ex │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4450 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-0215 │ │ │ │ openssl: use-after-free following BIO_new_NDEF │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0215 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-0286 │ │ │ │ openssl: X.400 address type confusion in X.509 GeneralName │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0286 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-0464 │ HIGH │ 1.1.1o-r0 │ 1.1.1t-r1 │ openssl: Denial of service by excessive resource usage in │ │ │ │ │ │ │ verifying X509 policy... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2022-2097 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1q-r0 │ openssl: AES OCB fails to encrypt some bytes │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │ │ ├────────────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2022-4304 │ │ │ 1.1.1t-r0 │ openssl: timing attack in RSA Decryption implementation │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4304 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-0465 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1t-r2 │ openssl: Invalid certificate policies in leaf certificates │ │ │ │ │ │ │ are silently ignored │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-2650 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1u-r0 │ openssl: Possible DoS translating ASN.1 object identifiers │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-3446 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1u-r2 │ openssl: Excessive time spent checking DH keys and │ │ │ │ │ │ │ parameters │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-3817 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1v-r0 │ OpenSSL: Excessive time spent checking DH q parameter value │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-5678 │ MEDIUM │ 1.1.1o-r0 │ 1.1.1w-r1 │ openssl: Generating excessively long X9.42 DH keys or │ │ │ │ │ │ │ checking excessively long X9.42... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5678 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ ssl_client │ CVE-2022-30065 │ HIGH │ 1.35.0-r13 │ 1.35.0-r15 │ busybox: A use-after-free in Busybox's awk applet leads to │ │ │ │ │ │ │ denial of service... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30065 │ ├──────────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ zlib │ CVE-2022-37434 │ CRITICAL │ 1.2.12-r1 │ 1.2.12-r2 │ zlib: heap-based buffer over-read and overflow in inflate() │ │ │ │ │ │ │ in inflate.c via a... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37434 │ └──────────────┴────────────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘ ┌─────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────────────┬────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ @babel/traverse (package.json) │ CVE-2023-45133 │ CRITICAL │ 7.18.6 │ 7.23.2, 8.0.0-alpha.4 │ babel: arbitrary code execution │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45133 │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ http-cache-semantics (package.json) │ CVE-2022-25881 │ HIGH │ 4.1.0 │ 4.1.1 │ http-cache-semantics: Regular Expression Denial of Service │ │ │ │ │ │ │ (ReDoS) vulnerability │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25881 │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ ip (package.json) │ CVE-2023-42282 │ MEDIUM │ 1.1.8 │ 2.0.1, 1.1.9 │ nodejs-ip: arbitrary code execution via the isPublic() │ │ │ │ │ │ │ function │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42282 │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ json5 (package.json) │ CVE-2022-46175 │ HIGH │ 2.2.1 │ 2.2.2, 1.0.2 │ json5: Prototype Pollution in JSON5 via Parse Method │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-46175 │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ semver (package.json) │ CVE-2022-25883 │ MEDIUM │ 6.3.0 │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25883 │ │ │ │ ├───────────────────┤ │ │ │ │ │ │ 7.0.0 │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────┤ │ │ │ │ │ │ 7.3.7 │ │ │ │ │ │ │ │ │ │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ tar (package.json) │ CVE-2024-28863 │ MEDIUM │ 6.1.11 │ 6.2.1 │ node-tar is a Tar for Node.js. node-tar prior to version │ │ │ │ │ │ │ 6.2.1 has... │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28863 │ ├─────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼────────────────────────────────────────────────────────────┤ │ word-wrap (package.json) │ CVE-2023-26115 │ MEDIUM │ 1.2.3 │ 1.2.4 │ word-wrap: ReDoS │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26115 │ └─────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────────────┴────────────────────────────────────────────────────────────┘ ```