search

kubernetes-sigs / dashboard-metrics-scraper

Container to scrape, store, and retrieve a window of time from the Metrics Server.
Apache License 2.0
87 stars 39 forks source link

Update dependencies to patch high and critical CVEs #58

Closed robertvolkmann closed 1 year ago

robertvolkmann commented 1 year ago

What should be cleaned up or changed?

Update go libraries to eliminate vulnerabilities

github.com/emicklei/go-restful
golang.org/x/net
golang.org/x/text

Versions listed below.

Why is this needed?

Detected vulnerabilities:

$ trivy image kubernetesui/metrics-scraper:v1.0.9
2023-04-14T15:00:30.021+0200    INFO    Vulnerability scanning is enabled
2023-04-14T15:00:31.897+0200    INFO    Number of language-specific files: 1
2023-04-14T15:00:31.897+0200    INFO    Detecting gobinary vulnerabilities...

metrics-sidecar (gobinary)

Total: 7 (UNKNOWN: 1, LOW: 0, MEDIUM: 1, HIGH: 4, CRITICAL: 1)

┌────────────────────────────────┬─────────────────────┬──────────┬────────────────────────────────────┬─────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│            Library             │    Vulnerability    │ Severity │         Installed Version          │            Fixed Version            │                            Title                             │
├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/emicklei/go-restful │ CVE-2022-1996       │ CRITICAL │ v2.15.0+incompatible               │ 2.16.0                              │ go-restful: Authorization Bypass Through User-Controlled Key │
│                                │                     │          │                                    │                                     │ https://avd.aquasec.com/nvd/cve-2022-1996                    │
├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net               │ CVE-2022-27664      │ HIGH     │ v0.0.0-20220524220425-1d687d428aca │ 0.0.0-20220906165146-f3363e06e74c   │ golang: net/http: handle server errors after sending GOAWAY  │
│                                │                     │          │                                    │                                     │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│                                ├─────────────────────┤          │                                    ├─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                │ CVE-2022-41721      │          │                                    │ 0.1.1-0.20221104162952-702349b0e862 │ x/net/http2/h2c: request smuggling                           │
│                                │                     │          │                                    │                                     │ https://avd.aquasec.com/nvd/cve-2022-41721                   │
│                                ├─────────────────────┤          │                                    ├─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                │ CVE-2022-41723      │          │                                    │ 0.7.0                               │ golang.org/x/net/http2: avoid quadratic complexity in HPACK  │
│                                │                     │          │                                    │                                     │ decoding                                                     │
│                                │                     │          │                                    │                                     │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                                ├─────────────────────┼──────────┤                                    ├─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                │ CVE-2022-41717      │ MEDIUM   │                                    │ 0.4.0                               │ golang: net/http: An attacker can cause excessive memory     │
│                                │                     │          │                                    │                                     │ growth in a Go...                                            │
│                                │                     │          │                                    │                                     │ https://avd.aquasec.com/nvd/cve-2022-41717                   │
│                                ├─────────────────────┼──────────┤                                    ├─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                │ GHSA-vvpx-j8f3-3w6h │ UNKNOWN  │                                    │ 0.7.0                               │ Uncontrolled Resource Consumption                            │
│                                │                     │          │                                    │                                     │ https://github.com/advisories/GHSA-vvpx-j8f3-3w6h            │
├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text              │ CVE-2022-32149      │ HIGH     │ v0.3.7                             │ 0.3.8                               │ golang: golang.org/x/text/language: ParseAcceptLanguage      │
│                                │                     │          │                                    │                                     │ takes a long time to parse complex tags                      │
│                                │                     │          │                                    │                                     │ https://avd.aquasec.com/nvd/cve-2022-32149                   │
└────────────────────────────────┴─────────────────────┴──────────┴────────────────────────────────────┴─────────────────────────────────────┴──────────────────────────────────────────────────────────────┘
maciaszczykm commented 1 year ago

It will be solved by https://github.com/kubernetes/dashboard/pull/7931.