search

reactive-tech / kubegres

Kubegres is a Kubernetes operator allowing to deploy one or many clusters of PostgreSql instances and manage databases replication, failover and backup.
https://www.kubegres.io
Apache License 2.0
1.32k stars 74 forks source link

CVEs in 1.16 version #158

Closed sergicastro closed 1 year ago

sergicastro commented 1 year ago

Found the following critical and high CVEs in the last release version (1.16).

It would be nice to fix them and release a new version soon.

┌────────────────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│            Library             │ Vulnerability  │ Severity │         Installed Version          │           Fixed Version           │                            Title                            │
├────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ github.com/emicklei/go-restful │ CVE-2022-1996  │ CRITICAL │ v2.9.5+incompatible                │ 2.16.0+incompatible               │ Authorization Bypass Through User-Controlled Key            │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-1996                   │
├────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto            │ CVE-2022-27191 │ HIGH     │ v0.0.0-20220214200702-86341886e292 │ 0.0.0-20220314234659-1baeb1ce4c0b │ crash in a golang.org/x/crypto/ssh server                   │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                  │
├────────────────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net               │ CVE-2022-27664 │          │ v0.0.0-20220127200216-cd36cc0744dd │ 0.0.0-20220906165146-f3363e06e74c │ handle server errors after sending GOAWAY                   │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                  │
│                                ├────────────────┤          │                                    ├───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                │ CVE-2022-41723 │          │                                    │ 0.7.0                             │ avoid quadratic complexity in HPACK decoding                │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                  │
├────────────────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/text              │ CVE-2022-32149 │          │ v0.3.7                             │ 0.3.8                             │ ParseAcceptLanguage takes a long time to parse complex tags │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                  │
├────────────────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v3               │ CVE-2022-28948 │          │ v3.0.0-20210107192922-496545a6307b │ 3.0.0-20220521103104-8f96da9f5d5e │ crash when attempting to deserialize invalid input          │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-28948                  │
└────────────────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘
alex-arica commented 1 year ago

A new release of Kubegres is available. It was upgraded to use the latest available libraries: https://github.com/reactive-tech/kubegres/releases/tag/v1.17