Closed dashanji closed 5 months ago
Use trivy to scan the security issues in vineyardd image and get the following result.
$ trivy image vineyardcloudnative/vineyardd:latest 2024-04-03T16:09:23.720+0800 INFO Need to update DB 2024-04-03T16:09:23.720+0800 INFO DB Repository: ghcr.io/aquasecurity/trivy-db:2 2024-04-03T16:09:23.720+0800 INFO Downloading DB... 44.77 MiB / 44.77 MiB [-------] 100.00% 21.98 MiB p/s 2.2s 2024-04-03T16:09:27.437+0800 INFO Vulnerability scanning is enabled 2024-04-03T16:09:27.437+0800 INFO Secret scanning is enabled 2024-04-03T16:09:27.437+0800 INFO If your scanning is slow, please try '--scanners vuln' to disable secret scanning 2024-04-03T16:09:27.437+0800 INFO Please see also https://aquasecurity.github.io/trivy/v0.50/docs/scanner/secret/#recommendation for faster secret detection 2024-04-03T16:09:28.702+0800 INFO Detected OS: debian 2024-04-03T16:09:28.702+0800 INFO Detecting Debian vulnerabilities... 2024-04-03T16:09:28.704+0800 INFO Number of language-specific files: 1 2024-04-03T16:09:28.704+0800 INFO Detecting gobinary vulnerabilities... vineyardcloudnative/vineyardd:latest (debian 11.9) Total: 17 (UNKNOWN: 0, LOW: 11, MEDIUM: 6, HIGH: 0, CRITICAL: 0) ┌───────────┬──────────────────┬──────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├───────────┼──────────────────┼──────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libc6 │ CVE-2023-4806 │ MEDIUM │ affected │ 2.31-13+deb11u8 │ │ glibc: potential use-after-free in getaddrinfo() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4806 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-4813 │ │ │ │ │ glibc: potential use-after-free in gaih_inet() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4813 │ │ ├──────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2010-4756 │ LOW │ │ │ │ glibc: glob implementation can cause excessive CPU and │ │ │ │ │ │ │ │ memory consumption due to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │ │ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │ │ │ │ │ │ │ │ because of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │ │ │ │ │ │ │ │ pthread_created thread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │ │ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │ ├───────────┼──────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl1.1 │ CVE-2023-5678 │ MEDIUM │ │ 1.1.1w-0+deb11u1 │ │ openssl: Generating excessively long X9.42 DH keys or │ │ │ │ │ │ │ │ checking excessively long X9.42... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5678 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-0727 │ │ │ │ │ openssl: denial of service via null dereference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0727 │ │ ├──────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2007-6755 │ LOW │ │ │ │ Dual_EC_DRBG: weak pseudo random number generator │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2010-0928 │ │ │ │ │ openssl: RSA authentication weakness │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │ ├───────────┼──────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ openssl │ CVE-2023-5678 │ MEDIUM │ │ │ │ openssl: Generating excessively long X9.42 DH keys or │ │ │ │ │ │ │ │ checking excessively long X9.42... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5678 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-0727 │ │ │ │ │ openssl: denial of service via null dereference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0727 │ │ ├──────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2007-6755 │ LOW │ │ │ │ Dual_EC_DRBG: weak pseudo random number generator │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │ │ ├──────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2010-0928 │ │ │ │ │ openssl: RSA authentication weakness │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │ └───────────┴──────────────────┴──────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘ usr/bin/etcd (gobinary) Total: 8 (UNKNOWN: 0, LOW: 0, MEDIUM: 5, HIGH: 3, CRITICAL: 0) ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬────────────────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108 │ HIGH │ fixed │ v0.25.0 │ 0.46.0 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due │ │ rg/grpc/otelgrpc │ │ │ │ │ │ to unbound cardinality metrics │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-47108 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/crypto │ CVE-2023-48795 │ MEDIUM │ │ v0.0.0-20220411220226-7b82a4e95df4 │ 0.17.0 │ ssh: Prefix truncation attack on Binary Packet Protocol │ │ │ │ │ │ │ │ (BPP) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-48795 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├────────────────────────────────────┤ ├──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2023-39325 │ HIGH │ │ v0.7.0 │ │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-3978 │ MEDIUM │ │ │ 0.13.0 │ golang.org/x/net/html: Cross site scripting │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3978 │ │ ├─────────────────────┤ │ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ │ │ │ 0.17.0 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ GHSA-m425-mq94-257g │ HIGH │ │ v1.41.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ MEDIUM │ │ │ 1.58.3, 1.57.1, 1.56.3 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├────────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ │ │ v1.27.1 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴────────────────────────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
Closing as won't address it for now.
Describe your problem
Use trivy to scan the security issues in vineyardd image and get the following result.