Fix the CVEs in vineyardd image

Describe your problem

Use trivy to scan the security issues in vineyardd image and get the following result.
$ trivy image vineyardcloudnative/vineyardd:latest
2024-04-03T16:09:23.720+0800    INFO    Need to update DB
2024-04-03T16:09:23.720+0800    INFO    DB Repository: ghcr.io/aquasecurity/trivy-db:2
2024-04-03T16:09:23.720+0800    INFO    Downloading DB...
44.77 MiB / 44.77 MiB [-------] 100.00% 21.98 MiB p/s 2.2s
2024-04-03T16:09:27.437+0800    INFO    Vulnerability scanning is enabled
2024-04-03T16:09:27.437+0800    INFO    Secret scanning is enabled
2024-04-03T16:09:27.437+0800    INFO    If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2024-04-03T16:09:27.437+0800    INFO    Please see also https://aquasecurity.github.io/trivy/v0.50/docs/scanner/secret/#recommendation for faster secret detection
2024-04-03T16:09:28.702+0800    INFO    Detected OS: debian
2024-04-03T16:09:28.702+0800    INFO    Detecting Debian vulnerabilities...
2024-04-03T16:09:28.704+0800    INFO    Number of language-specific files: 1
2024-04-03T16:09:28.704+0800    INFO    Detecting gobinary vulnerabilities...

vineyardcloudnative/vineyardd:latest (debian 11.9)

Total: 17 (UNKNOWN: 0, LOW: 11, MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌───────────┬──────────────────┬──────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
│  Library  │  Vulnerability   │ Severity │  Status  │ Installed Version │ Fixed Version │                            Title                            │
├───────────┼──────────────────┼──────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ libc6     │ CVE-2023-4806    │ MEDIUM   │ affected │ 2.31-13+deb11u8   │               │ glibc: potential use-after-free in getaddrinfo()            │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-4806                   │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2023-4813    │          │          │                   │               │ glibc: potential use-after-free in gaih_inet()              │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-4813                   │
│           ├──────────────────┼──────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2010-4756    │ LOW      │          │                   │               │ glibc: glob implementation can cause excessive CPU and      │
│           │                  │          │          │                   │               │ memory consumption due to...                                │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-4756                   │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2018-20796   │          │          │                   │               │ glibc: uncontrolled recursion in function                   │
│           │                  │          │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c              │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-20796                  │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010022 │          │          │                   │               │ glibc: stack guard protection bypass                        │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010023 │          │          │                   │               │ glibc: running ldd on malicious ELF leads to code execution │
│           │                  │          │          │                   │               │ because of...                                               │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010024 │          │          │                   │               │ glibc: ASLR bypass using cache of thread stack and heap     │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010025 │          │          │                   │               │ glibc: information disclosure of heap addresses of          │
│           │                  │          │          │                   │               │ pthread_created thread                                      │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-9192    │          │          │                   │               │ glibc: uncontrolled recursion in function                   │
│           │                  │          │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c              │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-9192                   │
├───────────┼──────────────────┼──────────┤          ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-5678    │ MEDIUM   │          │ 1.1.1w-0+deb11u1  │               │ openssl: Generating excessively long X9.42 DH keys or       │
│           │                  │          │          │                   │               │ checking excessively long X9.42...                          │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-5678                   │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2024-0727    │          │          │                   │               │ openssl: denial of service via null dereference             │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2024-0727                   │
│           ├──────────────────┼──────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2007-6755    │ LOW      │          │                   │               │ Dual_EC_DRBG: weak pseudo random number generator           │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-6755                   │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2010-0928    │          │          │                   │               │ openssl: RSA authentication weakness                        │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-0928                   │
├───────────┼──────────────────┼──────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│ openssl   │ CVE-2023-5678    │ MEDIUM   │          │                   │               │ openssl: Generating excessively long X9.42 DH keys or       │
│           │                  │          │          │                   │               │ checking excessively long X9.42...                          │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-5678                   │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2024-0727    │          │          │                   │               │ openssl: denial of service via null dereference             │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2024-0727                   │
│           ├──────────────────┼──────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2007-6755    │ LOW      │          │                   │               │ Dual_EC_DRBG: weak pseudo random number generator           │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-6755                   │
│           ├──────────────────┤          │          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2010-0928    │          │          │                   │               │ openssl: RSA authentication weakness                        │
│           │                  │          │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-0928                   │
└───────────┴──────────────────┴──────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘

usr/bin/etcd (gobinary)

Total: 8 (UNKNOWN: 0, LOW: 0, MEDIUM: 5, HIGH: 3, CRITICAL: 0)

┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬────────────────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│                           Library                            │    Vulnerability    │ Severity │ Status │         Installed Version          │     Fixed Version      │                            Title                             │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108      │ HIGH     │ fixed  │ v0.25.0                            │ 0.46.0                 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due  │
│ rg/grpc/otelgrpc                                             │                     │          │        │                                    │                        │ to unbound cardinality metrics                               │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2023-47108                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤        ├────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto                                          │ CVE-2023-48795      │ MEDIUM   │        │ v0.0.0-20220411220226-7b82a4e95df4 │ 0.17.0                 │ ssh: Prefix truncation attack on Binary Packet Protocol      │
│                                                              │                     │          │        │                                    │                        │ (BPP)                                                        │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2023-48795                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤        ├────────────────────────────────────┤                        ├──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                                             │ CVE-2023-39325      │ HIGH     │        │ v0.7.0                             │                        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                                                              │                     │          │        │                                    │                        │ excessive work (CVE-2023-44487)                              │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│                                                              ├─────────────────────┼──────────┤        │                                    ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2023-3978       │ MEDIUM   │        │                                    │ 0.13.0                 │ golang.org/x/net/html: Cross site scripting                  │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2023-3978                    │
│                                                              ├─────────────────────┤          │        │                                    ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2023-44487      │          │        │                                    │ 0.17.0                 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable   │
│                                                              │                     │          │        │                                    │                        │ to a DDoS attack...                                          │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤        ├────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc                                       │ GHSA-m425-mq94-257g │ HIGH     │        │ v1.41.0                            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                                                              │                     │          │        │                                    │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
│                                                              ├─────────────────────┼──────────┤        │                                    ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                              │ CVE-2023-44487      │ MEDIUM   │        │                                    │ 1.58.3, 1.57.1, 1.56.3 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable   │
│                                                              │                     │          │        │                                    │                        │ to a DDoS attack...                                          │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
├──────────────────────────────────────────────────────────────┼─────────────────────┤          │        ├────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/protobuf                                   │ CVE-2024-24786      │          │        │ v1.27.1                            │ 1.33.0                 │ golang-protobuf: encoding/protojson, internal/encoding/json: │
│                                                              │                     │          │        │                                    │                        │ infinite loop in protojson.Unmarshal when unmarshaling       │
│                                                              │                     │          │        │                                    │                        │ certain forms of...                                          │
│                                                              │                     │          │        │                                    │                        │ https://avd.aquasec.com/nvd/cve-2024-24786                   │
└──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴────────────────────────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
v6d-io / v6d

Fix the CVEs in vineyardd image #1855

Describe your problem
