search

litmuschaos / litmus-go

Apache License 2.0
66 stars 118 forks source link

Fixes Vulnerabilities on promql and crictl binaries used inside the experiment image. #696

Open uditgaurav opened 4 months ago

uditgaurav commented 4 months ago

Here is the trivy run that reports the issue in promql and crictl binaries.


usr/local/bin/crictl (gobinary)
===============================
Total: 4 (HIGH: 4, CRITICAL: 0)

┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│                           Library                            │    Vulnerability    │ Severity │ Status │ Installed Version │     Fixed Version      │                            Title                             │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108      │ HIGH     │ fixed  │ v0.35.0           │ 0.[46](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:47).0                 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due  │
│ rg/grpc/otelgrpc                                             │                     │          │        │                   │                        │ to unbound cardinality metrics                               │
│                                                              │                     │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-[47](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:48)108                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┤          │        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/net/http/otelht- │ CVE-2023-45142      │          │        │ v0.35.1           │ 0.44.0                 │ opentelemetry: DoS vulnerability in otelhttp                 │
│ tp                                                           │                     │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-45142                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┤          │        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                                             │ CVE-2023-39325      │          │        │ v0.14.0           │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                                                              │                     │          │        │                   │                        │ excessive work (CVE-2023-44[48](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:49)7)                              │
│                                                              │                     │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┤          │        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc                                       │ GHSA-m425-mq94-257g │          │        │ v1.54.0           │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                                                              │                     │          │        │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/promql (gobinary)
===============================
Total: 1 (HIGH: 1, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ fixed  │ v0.7.0            │ 0.17.0        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │        │                   │               │ excessive work (CVE-2023-444[87](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:88))                              │
│                  │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
└──────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘