search

tabular-io / iceberg-rest-image

Simple project to expose a catalog over REST using a Java catalog backend
Apache License 2.0
93 stars 39 forks source link

CVE security findings that need to be resolved #96

Open reedog117 opened 2 months ago

reedog117 commented 2 months ago

Security findings found via Trivy when using that need to be resolved. Unsure if this should be reported here or upstream.

In summary there are 5 medium and 4 high CVE vulnerabilities that can be resolved with updated dependencies within iceberg-rest-image-all.jar

Note that this is with the following contents in build.gradle

ext {
  icebergVersion = '1.5.2'
  hadoopVersion = '3.4.0'
}
Total: 39 (UNKNOWN: 0, LOW: 33, MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │  Status  │    Installed Version     │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils        │ CVE-2016-2781  │ LOW      │ affected │ 8.32-4.1ubuntu1.2        │               │ coreutils: Non-privileged session can escape to the parent   │
│                  │                │          │          │                          │               │ session in chroot                                            │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base      │ CVE-2022-27943 │          │          │ 12.3.0-1ubuntu1~22.04    │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                  │                │          │          │                          │               │ stack exhaustion in demangle_const                           │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv             │ CVE-2022-3219  │          │          │ 2.2.27-3ubuntu2.1        │               │ gnupg: denial of service issue (resource consumption) using  │
│                  │                │          │          │                          │               │ compressed packets                                           │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin         │ CVE-2016-20013 │          │          │ 2.35-0ubuntu3.7          │               │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │               │ cause a denial of...                                         │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┤                │          │          │                          ├───────────────┤                                                              │
│ libc6            │                │          │          │                          │               │                                                              │
│                  │                │          │          │                          │               │                                                              │
│                  │                │          │          │                          │               │                                                              │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1        │ CVE-2022-27943 │          │          │ 12.3.0-1ubuntu1~22.04    │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                  │                │          │          │                          │               │ stack exhaustion in demangle_const                           │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20      │ CVE-2024-2236  │ MEDIUM   │          │ 1.9.4-3ubuntu3           │               │ libgcrypt: vulnerable to Marvin Attack                       │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-2236                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2024-26462 │          │          │ 1.19.2-2ubuntu0.3        │               │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │               │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │               │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3     │ CVE-2024-26462 │ MEDIUM   │          │                          │               │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │               │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │               │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3        │ CVE-2024-26462 │ MEDIUM   │          │                          │               │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │               │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │               │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0  │ CVE-2024-26462 │ MEDIUM   │          │                          │               │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │               │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │               │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5         │ CVE-2020-22916 │ MEDIUM   │          │ 5.2.5-2ubuntu1           │               │ Denial of service via decompression of crafted file          │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2020-22916                   │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6      │ CVE-2023-45918 │ LOW      │          │ 6.3-2ubuntu0.1           │               │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │               │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6     │ CVE-2023-45918 │          │          │                          │               │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │               │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3         │ CVE-2017-11164 │          │          │ 2:8.39-13ubuntu0.22.04.1 │               │ pcre: OP_KETRMAX feature in the match function in            │
│                  │                │          │          │                          │               │ pcre_exec.c                                                  │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2017-11164                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16      │ CVE-2022-3857  │          │          │ 1.6.37-3build5           │               │ libpng: Null pointer dereference leads to segmentation fault │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-3857                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6       │ CVE-2022-27943 │          │          │ 12.3.0-1ubuntu1~22.04    │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                  │                │          │          │                          │               │ stack exhaustion in demangle_const                           │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0      │ CVE-2023-7008  │          │          │ 249.11-0ubuntu3.12       │               │ systemd-resolved: Unsigned name response in signed zone is   │
│                  │                │          │          │                          │               │ not refused when DNSSEC=yes...                               │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-7008                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6        │ CVE-2023-45918 │          │          │ 6.3-2ubuntu0.1           │               │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │               │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1         │ CVE-2023-7008  │          │          │ 249.11-0ubuntu3.12       │               │ systemd-resolved: Unsigned name response in signed zone is   │
│                  │                │          │          │                          │               │ not refused when DNSSEC=yes...                               │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-7008                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1         │ CVE-2022-4899  │          │          │ 1.4.8+dfsg-3build1       │               │ zstd: mysql: buffer overrun in util.c                        │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-4899                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ locales          │ CVE-2016-20013 │          │          │ 2.35-0ubuntu3.7          │               │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │               │ cause a denial of...                                         │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login            │ CVE-2023-29383 │          │          │ 1:4.8.1-2ubuntu2.2       │               │ shadow: Improper input validation in shadow-utils package    │
│                  │                │          │          │                          │               │ utility chfn                                                 │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base     │ CVE-2023-45918 │          │          │ 6.3-2ubuntu0.1           │               │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │               │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin      │ CVE-2023-45918 │          │          │                          │               │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │               │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd           │ CVE-2023-29383 │          │          │ 1:4.8.1-2ubuntu2.2       │               │ shadow: Improper input validation in shadow-utils package    │
│                  │                │          │          │                          │               │ utility chfn                                                 │
│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
2024-05-29T11:12:12-04:00   INFO    Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

Java (jar)

Total: 9 (UNKNOWN: 0, LOW: 0, MEDIUM: 5, HIGH: 4, CRITICAL: 0)

┌─────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│                           Library                           │ Vulnerability  │ Severity │ Status │ Installed Version │     Fixed Version      │                            Title                             │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ch.qos.logback:logback-classic (iceberg-rest-image-all.jar) │ CVE-2023-6378  │ HIGH     │ fixed  │ 1.2.10            │ 1.3.12, 1.4.12, 1.2.13 │ logback: serialization vulnerability in logback receiver     │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-6378                    │
├─────────────────────────────────────────────────────────────┤                │          │        │                   │                        │                                                              │
│ ch.qos.logback:logback-core (iceberg-rest-image-all.jar)    │                │          │        │                   │                        │                                                              │
│                                                             │                │          │        │                   │                        │                                                              │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.nimbusds:nimbus-jose-jwt (iceberg-rest-image-all.jar)   │ CVE-2023-52428 │ MEDIUM   │        │ 9.30.2            │ 9.37.2                 │ Denial of Service in Connect2id Nimbus JOSE+JWT              │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-52428                   │
├─────────────────────────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (iceberg-rest-image-all.jar)      │ CVE-2024-29025 │          │        │ 4.1.100.Final     │ 4.1.108.Final          │ netty-codec-http: Allocation of Resources Without Limits or  │
│                                                             │                │          │        │                   │                        │ Throttling                                                   │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2024-29025                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-compress                         │ CVE-2024-25710 │ HIGH     │        │ 1.24.0            │ 1.26.0                 │ commons-compress: Denial of service caused by an infinite    │
│ (iceberg-rest-image-all.jar)                                │                │          │        │                   │                        │ loop for a corrupted...                                      │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2024-25710                   │
│                                                             ├────────────────┤          │        │                   │                        ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2024-26308 │          │        │                   │                        │ commons-compress: OutOfMemoryError unpacking broken Pack200  │
│                                                             │                │          │        │                   │                        │ file                                                         │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2024-26308                   │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-configuration2                   │ CVE-2024-29131 │ MEDIUM   │        │ 2.8.0             │ 2.10.1                 │ commons-configuration: StackOverflowError adding property in │
│ (iceberg-rest-image-all.jar)                                │                │          │        │                   │                        │ AbstractListDelimiterHandler.flattenIterator()               │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2024-29131                   │
│                                                             ├────────────────┤          │        │                   │                        ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2024-29133 │          │        │                   │                        │ commons-configuration: StackOverflowError calling            │
│                                                             │                │          │        │                   │                        │ ListDelimiterHandler.flatten(Object, int) with a cyclical    │
│                                                             │                │          │        │                   │                        │ object tree                                                  │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2024-29133                   │
├─────────────────────────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.zookeeper:zookeeper (iceberg-rest-image-all.jar) │ CVE-2024-23944 │          │        │ 3.8.3             │ 3.8.4, 3.9.2           │ Information disclosure in persistent watchers handling in    │
│                                                             │                │          │        │                   │                        │ Apache ZooKe ...                                             │
│                                                             │                │          │        │                   │                        │ https://avd.aquasec.com/nvd/cve-2024-23944                   │
└─────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
reedog117 commented 2 weeks ago

Friendly ping here. iceberg-rest-image hasn't been updated in the Docker Hub in 4 months, and there are now multiple CRITICAL CVE findings that would prevent deployment in new systems in many areas.

Some of this can be reduced by bumping the iceberg and hadoop versions to 1.5.2 and 3.4.0 but this doesn't resolve most of the Java HIGH and CRITICAL findings.

Summarized results

tabulario/iceberg-rest:latest (ubuntu 22.04)

Total: 76 (UNKNOWN: 0, LOW: 41, MEDIUM: 35, HIGH: 0, CRITICAL: 0)

Java (jar)

Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 10, HIGH: 13, CRITICAL: 4)

Detailed results

tabulario/iceberg-rest:latest (ubuntu 22.04)

Total: 76 (UNKNOWN: 0, LOW: 41, MEDIUM: 35, HIGH: 0, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │  Status  │    Installed Version     │   Fixed Version    │                            Title                             │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ bash             │ CVE-2022-3715  │ MEDIUM   │ fixed    │ 5.1-6ubuntu1             │ 5.1-6ubuntu1.1     │ bash: a heap-buffer-overflow in valid_parameter_transform    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-3715                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils         │ CVE-2024-28085 │          │          │ 1:2.37.2-4ubuntu3        │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils        │ CVE-2016-2781  │ LOW      │ affected │ 8.32-4.1ubuntu1.1        │                    │ coreutils: Non-privileged session can escape to the parent   │
│                  │                │          │          │                          │                    │ session in chroot                                            │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base      │ CVE-2022-27943 │          │          │ 12.3.0-1ubuntu1~22.04    │                    │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                  │                │          │          │                          │                    │ stack exhaustion in demangle_const                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv             │ CVE-2022-3219  │          │          │ 2.2.27-3ubuntu2.1        │                    │ gnupg: denial of service issue (resource consumption) using  │
│                  │                │          │          │                          │                    │ compressed packets                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1        │ CVE-2024-28085 │ MEDIUM   │ fixed    │ 2.37.2-4ubuntu3          │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin         │ CVE-2024-2961  │          │          │ 2.35-0ubuntu3.6          │ 2.35-0ubuntu3.7    │ glibc: Out of bounds write in iconv may lead to remote       │
│                  │                │          │          │                          │                    │ code...                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-2961                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33599 │          │          │                          │ 2.35-0ubuntu3.8    │ glibc: stack-based buffer overflow in netgroup cache         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33599                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33600 │          │          │                          │                    │ glibc: null pointer dereferences after failed netgroup cache │
│                  │                │          │          │                          │                    │ insertion                                                    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33600                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33601 │          │          │                          │                    │ glibc: netgroup cache may terminate daemon on memory         │
│                  │                │          │          │                          │                    │ allocation failure                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33601                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33602 │          │          │                          │                    │ glibc: netgroup cache assumes NSS callback uses in-buffer    │
│                  │                │          │          │                          │                    │ strings                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33602                   │
│                  ├────────────────┼──────────┼──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2016-20013 │ LOW      │ affected │                          │                    │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │                    │ cause a denial of...                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┼──────────┼──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6            │ CVE-2024-2961  │ MEDIUM   │ fixed    │                          │ 2.35-0ubuntu3.7    │ glibc: Out of bounds write in iconv may lead to remote       │
│                  │                │          │          │                          │                    │ code...                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-2961                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33599 │          │          │                          │ 2.35-0ubuntu3.8    │ glibc: stack-based buffer overflow in netgroup cache         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33599                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33600 │          │          │                          │                    │ glibc: null pointer dereferences after failed netgroup cache │
│                  │                │          │          │                          │                    │ insertion                                                    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33600                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33601 │          │          │                          │                    │ glibc: netgroup cache may terminate daemon on memory         │
│                  │                │          │          │                          │                    │ allocation failure                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33601                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33602 │          │          │                          │                    │ glibc: netgroup cache assumes NSS callback uses in-buffer    │
│                  │                │          │          │                          │                    │ strings                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33602                   │
│                  ├────────────────┼──────────┼──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2016-20013 │ LOW      │ affected │                          │                    │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │                    │ cause a denial of...                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat1        │ CVE-2023-52425 │ MEDIUM   │ fixed    │ 2.4.7-1ubuntu0.2         │ 2.4.7-1ubuntu0.3   │ expat: parsing large tokens can trigger a denial of service  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-52425                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-28757 │          │          │                          │                    │ expat: XML Entity Expansion                                  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28757                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1        │ CVE-2022-27943 │ LOW      │ affected │ 12.3.0-1ubuntu1~22.04    │                    │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                  │                │          │          │                          │                    │ stack exhaustion in demangle_const                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20      │ CVE-2024-2236  │ MEDIUM   │          │ 1.9.4-3ubuntu3           │                    │ libgcrypt: vulnerable to Marvin Attack                       │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-2236                    │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30      │ CVE-2024-28834 │          │ fixed    │ 3.7.3-4ubuntu1.4         │ 3.7.3-4ubuntu1.5   │ gnutls: vulnerable to Minerva side-channel information leak  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28834                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-28835 │          │          │                          │                    │ gnutls: potential crash during chain building/verification   │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28835                   │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2024-26462 │          │ affected │ 1.19.2-2ubuntu0.3        │                    │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3     │ CVE-2024-26462 │ MEDIUM   │          │                          │                    │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3        │ CVE-2024-26462 │ MEDIUM   │          │                          │                    │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0  │ CVE-2024-26462 │ MEDIUM   │          │                          │                    │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26458 │ LOW      │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-26461 │          │          │                          │                    │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5         │ CVE-2020-22916 │ MEDIUM   │          │ 5.2.5-2ubuntu1           │                    │ Denial of service via decompression of crafted file          │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2020-22916                   │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1        │ CVE-2024-28085 │          │ fixed    │ 2.37.2-4ubuntu3          │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6      │ CVE-2023-45918 │ LOW      │ affected │ 6.3-2ubuntu0.1           │                    │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │                    │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │                    │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6     │ CVE-2023-45918 │          │          │                          │                    │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │                    │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │                    │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3         │ CVE-2017-11164 │          │          │ 2:8.39-13ubuntu0.22.04.1 │                    │ pcre: OP_KETRMAX feature in the match function in            │
│                  │                │          │          │                          │                    │ pcre_exec.c                                                  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2017-11164                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16      │ CVE-2022-3857  │          │          │ 1.6.37-3build5           │                    │ libpng: Null pointer dereference leads to segmentation fault │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-3857                    │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1    │ CVE-2024-28085 │ MEDIUM   │ fixed    │ 2.37.2-4ubuntu3          │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3          │ CVE-2022-40735 │          │          │ 3.0.2-0ubuntu1.14        │ 3.0.2-0ubuntu1.16  │ The Diffie-Hellman Key Agreement Protocol allows use of long │
│                  │                │          │          │                          │                    │ exponents that arguably...                                   │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-40735                   │
│                  ├────────────────┼──────────┼──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-2511  │ LOW      │ affected │                          │                    │ openssl: Unbounded memory growth with session handling in    │
│                  │                │          │          │                          │                    │ TLSv1.3                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-2511                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-4603  │          │          │                          │                    │ openssl: Excessive time spent checking DSA keys and          │
│                  │                │          │          │                          │                    │ parameters                                                   │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-4603                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-4741  │          │          │                          │                    │ openssl: Use After Free with SSL_free_buffers                │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-4741                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6       │ CVE-2022-27943 │          │          │ 12.3.0-1ubuntu1~22.04    │                    │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                  │                │          │          │                          │                    │ stack exhaustion in demangle_const                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0      │ CVE-2023-7008  │          │          │ 249.11-0ubuntu3.12       │                    │ systemd-resolved: Unsigned name response in signed zone is   │
│                  │                │          │          │                          │                    │ not refused when DNSSEC=yes...                               │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-7008                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6        │ CVE-2023-45918 │          │          │ 6.3-2ubuntu0.1           │                    │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │                    │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │                    │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1         │ CVE-2023-7008  │          │          │ 249.11-0ubuntu3.12       │                    │ systemd-resolved: Unsigned name response in signed zone is   │
│                  │                │          │          │                          │                    │ not refused when DNSSEC=yes...                               │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-7008                    │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1         │ CVE-2024-28085 │ MEDIUM   │ fixed    │ 2.37.2-4ubuntu3          │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1         │ CVE-2022-4899  │ LOW      │ affected │ 1.4.8+dfsg-3build1       │                    │ zstd: mysql: buffer overrun in util.c                        │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-4899                    │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ locales          │ CVE-2024-2961  │ MEDIUM   │ fixed    │ 2.35-0ubuntu3.6          │ 2.35-0ubuntu3.7    │ glibc: Out of bounds write in iconv may lead to remote       │
│                  │                │          │          │                          │                    │ code...                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-2961                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33599 │          │          │                          │ 2.35-0ubuntu3.8    │ glibc: stack-based buffer overflow in netgroup cache         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33599                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33600 │          │          │                          │                    │ glibc: null pointer dereferences after failed netgroup cache │
│                  │                │          │          │                          │                    │ insertion                                                    │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33600                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33601 │          │          │                          │                    │ glibc: netgroup cache may terminate daemon on memory         │
│                  │                │          │          │                          │                    │ allocation failure                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33601                   │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-33602 │          │          │                          │                    │ glibc: netgroup cache assumes NSS callback uses in-buffer    │
│                  │                │          │          │                          │                    │ strings                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-33602                   │
│                  ├────────────────┼──────────┼──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2016-20013 │ LOW      │ affected │                          │                    │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │                    │ cause a denial of...                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ login            │ CVE-2023-29383 │          │          │ 1:4.8.1-2ubuntu2.1       │                    │ shadow: Improper input validation in shadow-utils package    │
│                  │                │          │          │                          │                    │ utility chfn                                                 │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                  ├────────────────┤          ├──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-4641  │          │ fixed    │                          │ 1:4.8.1-2ubuntu2.2 │ shadow-utils: possible password leak during passwd(1) change │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ mount            │ CVE-2024-28085 │ MEDIUM   │          │ 2.37.2-4ubuntu3          │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base     │ CVE-2023-45918 │ LOW      │ affected │ 6.3-2ubuntu0.1           │                    │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │                    │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │                    │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin      │ CVE-2023-45918 │          │          │                          │                    │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                  │                │          │          │                          │                    │ tgetstr in tinf ......                                       │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-50495 │          │          │                          │                    │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl          │ CVE-2022-40735 │ MEDIUM   │ fixed    │ 3.0.2-0ubuntu1.15        │ 3.0.2-0ubuntu1.16  │ The Diffie-Hellman Key Agreement Protocol allows use of long │
│                  │                │          │          │                          │                    │ exponents that arguably...                                   │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-40735                   │
│                  ├────────────────┼──────────┼──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-2511  │ LOW      │ affected │                          │                    │ openssl: Unbounded memory growth with session handling in    │
│                  │                │          │          │                          │                    │ TLSv1.3                                                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-2511                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-4603  │          │          │                          │                    │ openssl: Excessive time spent checking DSA keys and          │
│                  │                │          │          │                          │                    │ parameters                                                   │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-4603                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-4741  │          │          │                          │                    │ openssl: Use After Free with SSL_free_buffers                │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-4741                    │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd           │ CVE-2023-29383 │          │          │ 1:4.8.1-2ubuntu2.1       │                    │ shadow: Improper input validation in shadow-utils package    │
│                  │                │          │          │                          │                    │ utility chfn                                                 │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                  ├────────────────┤          ├──────────┤                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-4641  │          │ fixed    │                          │ 1:4.8.1-2ubuntu2.2 │ shadow-utils: possible password leak during passwd(1) change │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux       │ CVE-2024-28085 │ MEDIUM   │          │ 2.37.2-4ubuntu3          │ 2.37.2-4ubuntu3.3  │ util-linux: CVE-2024-28085: wall: escape sequence injection  │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2024-28085                   │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘
2024-07-09T23:40:58-04:00   INFO    Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

Java (jar)

Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 10, HIGH: 13, CRITICAL: 4)

┌─────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬──────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                           Library                           │    Vulnerability    │ Severity │  Status  │ Installed Version │          Fixed Version           │                            Title                             │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.azure:azure-identity (iceberg-rest-image-all.jar)       │ CVE-2024-35255      │ MEDIUM   │ fixed    │ 1.11.1            │ 1.12.2                           │ azure-identity: Azure Identity Libraries Elevation of        │
│                                                             │                     │          │          │                   │                                  │ Privilege Vulnerability in                                   │
│                                                             │                     │          │          │                   │                                  │ github.com/Azure/azure-sdk-for-go/sdk/azidentity             │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-35255                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.protobuf:protobuf-java                           │ CVE-2021-22569      │ HIGH     │          │ 3.7.1             │ 3.16.1, 3.18.2, 3.19.2           │ protobuf-java: potential DoS in the parsing procedure for    │
│ (iceberg-rest-image-all.jar)                                │                     │          │          │                   │                                  │ binary data                                                  │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2021-22569                   │
│                                                             ├─────────────────────┤          │          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2021-22570      │          │          │                   │ 3.15.0                           │ protobuf: Incorrect parsing of nullchar in the proto symbol  │
│                                                             │                     │          │          │                   │                                  │ leads to Nullptr...                                          │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2021-22570                   │
│                                                             ├─────────────────────┤          │          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-3509       │          │          │                   │ 3.16.3, 3.19.6, 3.20.3, 3.21.7   │ protobuf-java: Textformat parsing issue leads to DoS         │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-3509                    │
│                                                             ├─────────────────────┤          │          │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-3510       │          │          │                   │                                  │ protobuf-java: Message-Type Extensions parsing issue leads   │
│                                                             │                     │          │          │                   │                                  │ to DoS                                                       │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-3510                    │
│                                                             ├─────────────────────┼──────────┤          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-3171       │ MEDIUM   │          │                   │ 3.21.7, 3.20.3, 3.19.6, 3.16.3   │ protobuf-java: timeout in parser leads to DoS                │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-3171                    │
├─────────────────────────────────────────────────────────────┼─────────────────────┤          │          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.nimbusds:nimbus-jose-jwt (iceberg-rest-image-all.jar)   │ CVE-2023-52428      │          │          │ 9.30.2            │ 9.37.2                           │ Denial of Service in Connect2id Nimbus JOSE+JWT              │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-52428                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.airlift:aircompressor (iceberg-rest-image-all.jar)       │ CVE-2024-36114      │ HIGH     │          │ 0.26              │ 0.27                             │ Decompressors can crash the JVM and leak memory content in   │
│                                                             │                     │          │          │                   │                                  │ Aircompressor                                                │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-36114                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (iceberg-rest-image-all.jar)      │ CVE-2024-29025      │ MEDIUM   │          │ 4.1.100.Final     │ 4.1.108.Final                    │ netty-codec-http: Allocation of Resources Without Limits or  │
│                                                             │                     │          │          │                   │                                  │ Throttling                                                   │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-29025                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (iceberg-rest-image-all.jar)                    │ CVE-2019-17571      │ CRITICAL │ affected │ 1.2.17            │                                  │ log4j: deserialization of untrusted data in SocketServer     │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2019-17571                   │
│                                                             ├─────────────────────┤          │          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-23305      │          │          │                   │                                  │ log4j: SQL injection in Log4j 1.x when application is        │
│                                                             │                     │          │          │                   │                                  │ configured to use...                                         │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-23305                   │
│                                                             ├─────────────────────┤          │          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-23307      │          │          │                   │                                  │ log4j: Unsafe deserialization flaw in Chainsaw log viewer    │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-23307                   │
│                                                             ├─────────────────────┼──────────┤          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2021-4104       │ HIGH     │          │                   │                                  │ log4j: Remote code execution in Log4j 1.x when application   │
│                                                             │                     │          │          │                   │                                  │ is configured to...                                          │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2021-4104                    │
│                                                             ├─────────────────────┤          │          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-23302      │          │          │                   │                                  │ log4j: Remote code execution in Log4j 1.x when application   │
│                                                             │                     │          │          │                   │                                  │ is configured to...                                          │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-23302                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┤          ├──────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-compress                         │ CVE-2024-25710      │          │ fixed    │ 1.22              │ 1.26.0                           │ commons-compress: Denial of service caused by an infinite    │
│ (iceberg-rest-image-all.jar)                                │                     │          │          │                   │                                  │ loop for a corrupted...                                      │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-25710                   │
│                                                             ├─────────────────────┤          │          │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2024-26308      │          │          │                   │                                  │ commons-compress: OutOfMemoryError unpacking broken Pack200  │
│                                                             │                     │          │          │                   │                                  │ file                                                         │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-26308                   │
│                                                             ├─────────────────────┼──────────┤          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2023-42503      │ MEDIUM   │          │                   │ 1.24.0                           │ apache-commons-compress: Denial of service via CPU           │
│                                                             │                     │          │          │                   │                                  │ consumption for malformed TAR file                           │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-42503                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┤          │          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-configuration2                   │ CVE-2024-29131      │          │          │ 2.8.0             │ 2.10.1                           │ commons-configuration: StackOverflowError adding property in │
│ (iceberg-rest-image-all.jar)                                │                     │          │          │                   │                                  │ AbstractListDelimiterHandler.flattenIterator()               │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-29131                   │
│                                                             ├─────────────────────┤          │          │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2024-29133      │          │          │                   │                                  │ commons-configuration: StackOverflowError calling            │
│                                                             │                     │          │          │                   │                                  │ ListDelimiterHandler.flatten(Object, int) with a cyclical    │
│                                                             │                     │          │          │                   │                                  │ object tree                                                  │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-29133                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.zookeeper:zookeeper (iceberg-rest-image-all.jar) │ CVE-2023-44981      │ CRITICAL │          │ 3.6.3             │ 3.7.2, 3.8.3, 3.9.1              │ zookeeper: Authorization Bypass in Apache ZooKeeper          │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-44981                   │
│                                                             ├─────────────────────┼──────────┤          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2024-23944      │ MEDIUM   │          │                   │ 3.8.4, 3.9.2                     │ Information disclosure in persistent watchers handling in    │
│                                                             │                     │          │          │                   │                                  │ Apache ZooKe ...                                             │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-23944                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.jettison:jettison (iceberg-rest-image-all.jar) │ CVE-2022-40150      │ HIGH     │          │ 1.1               │ 1.5.2                            │ jettison: memory exhaustion via user-supplied XML or JSON    │
│                                                             │                     │          │          │                   │                                  │ data                                                         │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-40150                   │
│                                                             ├─────────────────────┤          │          │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-45685      │          │          │                   │                                  │ jettison: stack overflow in JSONObject() allows attackers to │
│                                                             │                     │          │          │                   │                                  │ cause a Denial of...                                         │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-45685                   │
│                                                             ├─────────────────────┤          │          │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-45693      │          │          │                   │                                  │ jettison: If the value in map is the map's self, the...      │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-45693                   │
│                                                             ├─────────────────────┤          │          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2023-1436       │          │          │                   │ 1.5.4                            │ jettison: Uncontrolled Recursion in JSONArray                │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-1436                    │
│                                                             ├─────────────────────┼──────────┤          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                             │ CVE-2022-40149      │ MEDIUM   │          │                   │ 1.5.1                            │ jettison: parser crash by stackoverflow                      │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-40149                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┤          │          ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.eclipse.jetty:jetty-http (iceberg-rest-image-all.jar)   │ CVE-2023-40167      │          │          │ 9.4.51.v20230217  │ 9.4.52, 10.0.16, 11.0.16, 12.0.1 │ jetty: Improper validation of HTTP/1 content-length          │
│                                                             │                     │          │          │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-40167                   │
├─────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤          │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.eclipse.jetty:jetty-xml (iceberg-rest-image-all.jar)    │ GHSA-58qw-p7qm-5rvh │ LOW      │          │                   │ 10.0.16, 11.0.16, 12.0.0, 9.4.52 │ Eclipse Jetty XmlParser allows arbitrary DOCTYPE             │
│                                                             │                     │          │          │                   │                                  │ declarations                                                 │
│                                                             │                     │          │          │                   │                                  │ https://github.com/advisories/GHSA-58qw-p7qm-5rvh            │
└─────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴──────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘