search

wmo-im / wis2box

WIS2 in a box is a reference implementation of a WMO WIS2 Node
https://docs.wis2box.wis.wmo.int
Apache License 2.0
40 stars 16 forks source link

container vulnerability scanner fails on wis2box-api #796

Closed maaikelimper closed 8 hours ago

maaikelimper commented 3 weeks ago 
ghcr.io/wmo-im/wis2box-api:latest (ubuntu 22.04)
================================================
Total: 16 (HIGH: 16, CRITICAL: 0)

┌────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│    Library     │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version  │                            Title                             │
├────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ linux-libc-dev │ CVE-2023-52880 │ HIGH     │ fixed  │ 5.15.0-112.122    │ 5.15.0-116.126 │ kernel: tty: n_gsm: require CAP_NET_ADMIN to attach          │
│                │                │          │        │                   │                │ N_GSM0710 ldisc                                              │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2023-52880                   │
│                ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26642 │          │        │                   │                │ kernel: netfilter: nf_tables: disallow anonymous set with    │
│                │                │          │        │                   │                │ timeout flag                                                 │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26642                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26643 │          │        │                   │ 5.15.0-113.123 │ kernel: netfilter: nf_tables: mark set as dead when          │
│                │                │          │        │                   │                │ unbinding anonymous set with...                              │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26643                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26828 │          │        │                   │ 5.15.0-116.126 │ kernel: cifs: fix underflow in parse_server_interfaces()     │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26828                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26921 │          │        │                   │ 5.15.0-119.129 │ kernel: inet: inet_defrag: prevent sk release while still in │
│                │                │          │        │                   │                │ use                                                          │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26921                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26923 │          │        │                   │ 5.15.0-116.126 │ kernel: af_unix: Fix garbage collector racing against        │
│                │                │          │        │                   │                │ connect()                                                    │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26923                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26924 │          │        │                   │ 5.15.0-113.123 │ kernel: netfilter: nft_set_pipapo: do not free live element  │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26924                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26925 │          │        │                   │ 5.15.0-116.126 │ kernel: netfilter: nf_tables: release mutex after            │
│                │                │          │        │                   │                │ nft_gc_seq_end from abort path                               │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26925                   │
│                ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-26[96](https://github.com/wmo-im/wis2box/actions/runs/11627402413/job/32380663183#step:13:97)0 │          │        │                   │                │ kernel: mm: swap: fix race between free_swap_and_cache() and │
│                │                │          │        │                   │                │ swapoff()                                                    │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-26960                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-273[97](https://github.com/wmo-im/wis2box/actions/runs/11627402413/job/32380663183#step:13:98) │          │        │                   │ 5.15.0-124.134 │ kernel: netfilter: nf_tables: use timestamp to check for set │
│                │                │          │        │                   │                │ element timeout                                              │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-27397                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-273[98](https://github.com/wmo-im/wis2box/actions/runs/11627402413/job/32380663183#step:13:99) │          │        │                   │ 5.15.0-118.128 │ kernel: Bluetooth: Fix use-after-free bugs caused by         │
│                │                │          │        │                   │                │ sco_sock_timeout                                             │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-27398                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-36016 │          │        │                   │ 5.15.0-117.127 │ kernel: tty: n_gsm: fix possible out-of-bounds in            │
│                │                │          │        │                   │                │ gsm0_receive()                                               │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-36016                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-36971 │          │        │                   │ 5.15.0-121.131 │ kernel: net: kernel: UAF in network route management         │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-36971                   │
│                ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-36972 │          │        │                   │                │ kernel: af_unix: Update unix_sk(sk)->oob_skb under           │
│                │                │          │        │                   │                │ sk_receive_queue lock                                        │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-36972                   │
│                ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-38558 │          │        │                   │                │ kernel: net: openvswitch: fix overwriting ct original tuple  │
│                │                │          │        │                   │                │ for ICMPv6                                                   │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-38558                   │
│                ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2024-38630 │          │        │                   │ 5.15.0-[124](https://github.com/wmo-im/wis2box/actions/runs/11627402413/job/32380663183#step:13:125).134 │ kernel: watchdog: cpu5wdt.c: Fix use-after-free bug caused   │
│                │                │          │        │                   │                │ by cpu5wdt_trigger                                           │
│                │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2024-38630                   │
└────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘
maaikelimper commented 3 weeks ago

This requires a fix in the dim_eccodes_baseimage used by wis2box-api