ncabatoff / process-exporter

Prometheus exporter that mines /proc to report on selected processes
MIT License
1.7k stars 269 forks source link

need update gomod to fix CVE list #291

Closed zhangguanzhang closed 6 months ago

zhangguanzhang commented 7 months ago
bin/process-exporter (gobinary)

Total: 14 (UNKNOWN: 0, LOW: 0, MEDIUM: 6, HIGH: 8, CRITICAL: 0)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │         Installed Version          │           Fixed Version           │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/prometheus/client_golang    │ CVE-2022-21698 │ HIGH     │ fixed  │ v1.11.0                            │ 1.11.1                            │ prometheus/client_golang: Denial of service using            │
│                                        │                │          │        │                                    │                                   │ InstrumentHandlerCounter                                     │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-21698                   │
├────────────────────────────────────────┼────────────────┼──────────┤        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/prometheus/exporter-toolkit │ CVE-2022-46146 │ MEDIUM   │        │ v0.7.0                             │ 0.7.2, 0.8.2                      │ exporter-toolkit: authentication bypass via cache poisoning  │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-46146                   │
├────────────────────────────────────────┼────────────────┼──────────┤        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto                    │ CVE-2021-43565 │ HIGH     │        │ v0.0.0-20210616213533-5ff15b29337e │ 0.0.0-20211202192323-5770296d904e │ golang.org/x/crypto: empty plaintext packet causes panic     │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
│                                        ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2022-27191 │          │        │                                    │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server            │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                   │
│                                        ├────────────────┼──────────┤        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2023-48795 │ MEDIUM   │        │                                    │ 0.17.0                            │ ssh: Prefix truncation attack on Binary Packet Protocol      │
│                                        │                │          │        │                                    │                                   │ (BPP)                                                        │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2023-48795                   │
├────────────────────────────────────────┼────────────────┼──────────┤        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                       │ CVE-2022-27664 │ HIGH     │        │ v0.0.0-20210525063256-abc453219eb5 │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY  │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│                                        ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2022-41723 │          │        │                                    │ 0.7.0                             │ net/http, golang.org/x/net/http2: avoid quadratic complexity │
│                                        │                │          │        │                                    │                                   │ in HPACK decoding                                            │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                                        ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2023-39325 │          │        │                                    │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                                        │                │          │        │                                    │                                   │ excessive work (CVE-2023-44487)                              │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│                                        ├────────────────┼──────────┤        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2023-3978  │ MEDIUM   │        │                                    │ 0.13.0                            │ golang.org/x/net/html: Cross site scripting                  │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2023-3978                    │
│                                        ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2023-44487 │          │        │                                    │ 0.17.0                            │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable   │
│                                        │                │          │        │                                    │                                   │ to a DDoS attack...                                          │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
├────────────────────────────────────────┼────────────────┤          │        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys                       │ CVE-2022-29526 │          │        │ v0.0.0-20210615035016-665e8c7367d1 │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group                │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-29526                   │
├────────────────────────────────────────┼────────────────┼──────────┤        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text                      │ CVE-2021-38561 │ HIGH     │        │ v0.3.6                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                                        │                │          │        │                                    │                                   │ leads to DoS                                                 │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
│                                        ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2022-32149 │          │        │                                    │ 0.3.8                             │ golang: golang.org/x/text/language: ParseAcceptLanguage      │
│                                        │                │          │        │                                    │                                   │ takes a long time to parse complex tags                      │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                   │
├────────────────────────────────────────┼────────────────┼──────────┤        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/protobuf             │ CVE-2024-24786 │ MEDIUM   │        │ v1.26.0-rc.1                       │ 1.33.0                            │ golang-protobuf: encoding/protojson, internal/encoding/json: │
│                                        │                │          │        │                                    │                                   │ infinite loop in protojson.Unmarshal when unmarshaling       │
│                                        │                │          │        │                                    │                                   │ certain forms of...                                          │
│                                        │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2024-24786                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
zhangguanzhang commented 7 months ago

https://github.com/zhangguanzhang/process-exporter

ncabatoff commented 6 months ago

Fixed in https://github.com/ncabatoff/process-exporter/releases/tag/v0.7.11