search

meshery / meshery-app-mesh

Meshery adapter for AWS App Mesh
https://docs.meshery.io
Apache License 2.0
38 stars 31 forks source link

Resolve CVE #125

Closed acald-creator closed 1 year ago

acald-creator commented 1 year ago

Signed-off-by: Antonette Caldwell pullmana8@gmail.com

Description

This PR resolve the below trivy image scan report

meshery-app-mesh (gobinary)

Total: 4 (UNKNOWN: 1, LOW: 0, MEDIUM: 0, HIGH: 3, CRITICAL: 0)

┌──────────────────────────┬─────────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│         Library          │    Vulnerability    │ Severity │         Installed Version          │           Fixed Version           │                            Title                            │
├──────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ github.com/apache/thrift │ CVE-2020-13949      │ HIGH     │ v0.13.0                            │ v0.14.0                           │ libthrift: potential DoS when processing untrusted payloads │
│                          │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2020-13949                  │
├──────────────────────────┼─────────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net         │ CVE-2022-27664      │          │ v0.0.0-20220722155237-a158d28d115b │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│                          │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                  │
├──────────────────────────┼─────────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/text        │ CVE-2022-32149      │          │ v0.3.7                             │ 0.3.8                             │ golang: golang.org/x/text/language: ParseAcceptLanguage     │
│                          │                     │          │                                    │                                   │ takes a long time to parse complex tags                     │
│                          │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                  │
│                          ├─────────────────────┼──────────┤                                    │                                   ├─────────────────────────────────────────────────────────────┤
│                          │ GHSA-69ch-w2m2-3vjp │ UNKNOWN  │                                    │                                   │ An attacker may cause a denial of service by crafting an    │
│                          │                     │          │                                    │                                   │ Accept-Language...                                          │
│                          │                     │          │                                    │                                   │ https://github.com/advisories/GHSA-69ch-w2m2-3vjp           │
└──────────────────────────┴─────────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘

Notes for Reviewers

Signed commits

acald-creator commented 1 year ago

I'm working on a new golang-ci config file which should take care of the linting issues