Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Vulnerabilities found for api-server:2.0.5 #120

Open
ckfbot opened this issue Oct 16, 2024 · 0 comments
Open

Vulnerabilities found for api-server:2.0.5 #120

ckfbot opened this issue Oct 16, 2024 · 0 comments
Labels
bug Something isn't working

Comments

@ckfbot
Copy link
Collaborator

ckfbot commented Oct 16, 2024
edited
Loading

Vulnerabilities found for api-server:2.0.5


For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.56/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


charmedkubeflow/api-server:2.0.5-63c48d5 (ubuntu 20.04)
=======================================================
Total: 0 (HIGH: 0, CRITICAL: 0)


argo (gobinary)
===============
Total: 33 (HIGH: 30, CRITICAL: 3)

┌─────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│             Library             │    Vulnerability    │ Severity │ Status │           Installed Version           │           Fixed Version           │                            Title                             │
├─────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/argoproj/argo-events │ CVE-2022-25856      │ HIGH     │ fixed  │ v0.17.1-0.20220223155401-ddda8800f9f8 │ 1.7.1                             │ Insecure path traversal in Git Trigger Source can lead to    │
│                                 │                     │          │        │                                       │                                   │ arbitrary file...                                            │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-25856                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-31054      │          │        │                                       │                                   │ Uses of deprecated API can be used to cause DoS in           │
│                                 │                     │          │        │                                       │                                   │ user-facing...                                               │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-31054                   │
├─────────────────────────────────┼─────────────────────┤          │        ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto             │ CVE-2022-27191      │          │        │ v0.0.0-20220214200702-86341886e292    │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server            │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                   │
├─────────────────────────────────┼─────────────────────┤          │        ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                │ CVE-2022-27664      │          │        │ v0.0.0-20220225172249-27dd8689420f    │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY  │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41723      │          │        │                                       │ 0.7.0                             │ golang.org/x/net/http2: avoid quadratic complexity in HPACK  │
│                                 │                     │          │        │                                       │                                   │ decoding                                                     │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-39325      │          │        │                                       │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                                 │                     │          │        │                                       │                                   │ excessive work (CVE-2023-44487)                              │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────────────────┼─────────────────────┤          │        ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text               │ CVE-2022-32149      │          │        │ v0.3.7                                │ 0.3.8                             │ golang: golang.org/x/text/language: ParseAcceptLanguage      │
│                                 │                     │          │        │                                       │                                   │ takes a long time to parse complex tags                      │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                   │
├─────────────────────────────────┼─────────────────────┤          │        ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc          │ GHSA-m425-mq94-257g │          │        │ v1.44.0                               │ 1.56.3, 1.57.1, 1.58.3            │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                                 │                     │          │        │                                       │                                   │ https://github.com/advisories/GHSA-m425-mq94-257g            │
├─────────────────────────────────┼─────────────────────┤          │        ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v3                │ CVE-2022-28948      │          │        │ v3.0.0-20210107192922-496545a6307b    │ 3.0.0-20220521103104-8f96da9f5d5e │ golang-gopkg-yaml: crash when attempting to deserialize      │
│                                 │                     │          │        │                                       │                                   │ invalid input                                                │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-28948                   │
├─────────────────────────────────┼─────────────────────┼──────────┤        ├───────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                          │ CVE-2023-24538      │ CRITICAL │        │ 1.17.13                               │ 1.19.8, 1.20.3                    │ golang: html/template: backticks not treated as string       │
│                                 │                     │          │        │                                       │                                   │ delimiters                                                   │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-24538                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-24540      │          │        │                                       │ 1.19.9, 1.20.4                    │ golang: html/template: improper handling of JavaScript       │
│                                 │                     │          │        │                                       │                                   │ whitespace                                                   │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-24540                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2024-24790      │          │        │                                       │ 1.21.11, 1.22.4                   │ golang: net/netip: Unexpected behavior from Is methods for   │
│                                 │                     │          │        │                                       │                                   │ IPv4-mapped IPv6 addresses                                   │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2024-24790                   │
│                                 ├─────────────────────┼──────────┤        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-27664      │ HIGH     │        │                                       │ 1.18.6, 1.19.1                    │ golang: net/http: handle server errors after sending GOAWAY  │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-2879       │          │        │                                       │ 1.18.7, 1.19.2                    │ golang: archive/tar: unbounded memory consumption when       │
│                                 │                     │          │        │                                       │                                   │ reading headers                                              │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-2879                    │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-2880       │          │        │                                       │                                   │ golang: net/http/httputil: ReverseProxy should not forward   │
│                                 │                     │          │        │                                       │                                   │ unparseable query parameters                                 │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-2880                    │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41715      │          │        │                                       │                                   │ golang: regexp/syntax: limit memory used by parsing regexps  │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41715                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41716      │          │        │                                       │ 1.18.8, 1.19.3                    │ Due to unsanitized NUL values, attackers may be able to      │
│                                 │                     │          │        │                                       │                                   │ maliciously se...                                            │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41716                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41720      │          │        │                                       │ 1.18.9, 1.19.4                    │ golang: os, net/http: avoid escapes from os.DirFS and        │
│                                 │                     │          │        │                                       │                                   │ http.Dir on Windows                                          │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41720                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41722      │          │        │                                       │ 1.19.6, 1.20.1                    │ golang: path/filepath: path-filepath filepath.Clean path     │
│                                 │                     │          │        │                                       │                                   │ traversal                                                    │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41722                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41723      │          │        │                                       │                                   │ golang.org/x/net/http2: avoid quadratic complexity in HPACK  │
│                                 │                     │          │        │                                       │                                   │ decoding                                                     │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41724      │          │        │                                       │                                   │ golang: crypto/tls: large handshake records may cause panics │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41724                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2022-41725      │          │        │                                       │                                   │ golang: net/http, mime/multipart: denial of service from     │
│                                 │                     │          │        │                                       │                                   │ excessive resource consumption                               │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2022-41725                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-24534      │          │        │                                       │ 1.19.8, 1.20.3                    │ golang: net/http, net/textproto: denial of service from      │
│                                 │                     │          │        │                                       │                                   │ excessive memory allocation                                  │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-24534                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-24536      │          │        │                                       │                                   │ golang: net/http, net/textproto, mime/multipart: denial of   │
│                                 │                     │          │        │                                       │                                   │ service from excessive resource consumption                  │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-24536                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-24537      │          │        │                                       │                                   │ golang: go/parser: Infinite loop in parsing                  │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-24537                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-24539      │          │        │                                       │ 1.19.9, 1.20.4                    │ golang: html/template: improper sanitization of CSS values   │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-24539                   │
│                                 ├─────────────────────┤          │        │                                       │                                   ├──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-29400      │          │        │                                       │                                   │ golang: html/template: improper handling of empty HTML       │
│                                 │                     │          │        │                                       │                                   │ attributes                                                   │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-29400                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-29403      │          │        │                                       │ 1.19.10, 1.20.5                   │ golang: runtime: unexpected behavior of setuid/setgid        │
│                                 │                     │          │        │                                       │                                   │ binaries                                                     │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-29403                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-39325      │          │        │                                       │ 1.20.10, 1.21.3                   │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                                 │                     │          │        │                                       │                                   │ excessive work (CVE-2023-44487)                              │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-45283      │          │        │                                       │ 1.20.11, 1.21.4, 1.20.12, 1.21.5  │ The filepath package does not recognize paths with a \??\    │
│                                 │                     │          │        │                                       │                                   │ prefix as...                                                 │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-45283                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-45287      │          │        │                                       │ 1.20.0                            │ golang: crypto/tls: Timing Side Channel attack in RSA based  │
│                                 │                     │          │        │                                       │                                   │ TLS key exchanges....                                        │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-45287                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2023-45288      │          │        │                                       │ 1.21.9, 1.22.2                    │ golang: net/http, x/net/http2: unlimited number of           │
│                                 │                     │          │        │                                       │                                   │ CONTINUATION frames causes DoS                               │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
│                                 ├─────────────────────┤          │        │                                       ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                 │ CVE-2024-34156      │          │        │                                       │ 1.22.7, 1.23.1                    │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│                                 │                     │          │        │                                       │                                   │ which contains deeply nested structures...                   │
│                                 │                     │          │        │                                       │                                   │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
└─────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/bin/apiserver (gobinary)
============================
Total: 12 (HIGH: 11, CRITICAL: 1)

┌────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Status │ Installed Version │              Fixed Version               │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ fixed  │ v0.10.0           │ 0.17.0                                   │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │        │                   │                                          │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          │        ├───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │        │ v1.44.0           │ 1.56.3, 1.57.1, 1.58.3                   │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │        │                   │                                          │ https://github.com/advisories/GHSA-m425-mq94-257g            │
├────────────────────────┼─────────────────────┤          │        ├───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ k8s.io/kubernetes      │ CVE-2019-11253      │          │        │ v1.11.1           │ 1.13.12, 1.14.8, 1.15.5, 1.16.2          │ kubernetes: YAML parsing vulnerable to "Billion Laughs"      │
│                        │                     │          │        │                   │                                          │ attack, allowing for remote denial...                        │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2019-11253                   │
│                        ├─────────────────────┤          │        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2020-8558       │          │        │                   │ 1.18.4, 1.17.7, 1.16.11                  │ kubernetes: node localhost services reachable via martian    │
│                        │                     │          │        │                   │                                          │ packets                                                      │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2020-8558                    │
│                        ├─────────────────────┤          │        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2021-25741      │          │        │                   │ 1.19.15, 1.20.11, 1.21.5, 1.22.2         │ kubernetes: Symlink exchange can allow host filesystem       │
│                        │                     │          │        │                   │                                          │ access                                                       │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2021-25741                   │
│                        ├─────────────────────┤          │        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-3676       │          │        │                   │ 1.28.1, 1.27.5, 1.26.8, 1.25.13, 1.24.17 │ kubernetes: Insufficient input sanitization on Windows nodes │
│                        │                     │          │        │                   │                                          │ leads to privilege escalation                                │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2023-3676                    │
│                        ├─────────────────────┤          │        │                   │                                          ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-3955       │          │        │                   │                                          │ kubernetes: Insufficient input sanitization on Windows nodes │
│                        │                     │          │        │                   │                                          │ leads to privilege escalation                                │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2023-3955                    │
│                        ├─────────────────────┤          │        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-5528       │          │        │                   │ 1.28.4, 1.27.8, 1.26.11, 1.25.16         │ kubernetes: Insufficient input sanitization in in-tree       │
│                        │                     │          │        │                   │                                          │ storage plugin leads to privilege escalation...              │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2023-5528                    │
│                        ├─────────────────────┤          │        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2024-0793       │          │        │                   │ 1.27.0-alpha.1                           │ kube-controller-manager: malformed HPA v1 manifest causes    │
│                        │                     │          │        │                   │                                          │ crash                                                        │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2024-0793                    │
│                        ├─────────────────────┤          │        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2024-10220      │          │        │                   │ 1.28.12, 1.29.7, 1.30.3                  │ kubernetes: Arbitrary command execution through gitRepo      │
│                        │                     │          │        │                   │                                          │ volume                                                       │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2024-10220                   │
├────────────────────────┼─────────────────────┼──────────┤        ├───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                 │ CVE-2024-24790      │ CRITICAL │        │ 1.21.9            │ 1.21.11, 1.22.4                          │ golang: net/netip: Unexpected behavior from Is methods for   │
│                        │                     │          │        │                   │                                          │ IPv4-mapped IPv6 addresses                                   │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2024-24790                   │
│                        ├─────────────────────┼──────────┤        │                   ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2024-34156      │ HIGH     │        │                   │ 1.22.7, 1.23.1                           │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│                        │                     │          │        │                   │                                          │ which contains deeply nested structures...                   │
│                        │                     │          │        │                   │                                          │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
└────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/bin/go-licenses (gobinary)
==============================
Total: 6 (HIGH: 5, CRITICAL: 1)

┌─────────────────────┬────────────────┬──────────┬────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │         Installed Version          │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2022-27191 │ HIGH     │ fixed  │ v0.0.0-20220112180741-5e0467b6c7ce │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server            │
│                     │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                   │
├─────────────────────┼────────────────┤          │        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2022-27664 │          │        │ v0.0.0-20211112202133-69e39bad7dc2 │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY  │
│                     │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│                     ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2022-41723 │          │        │                                    │ 0.7.0                             │ golang.org/x/net/http2: avoid quadratic complexity in HPACK  │
│                     │                │          │        │                                    │                                   │ decoding                                                     │
│                     │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                     ├────────────────┤          │        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │        │                                    │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │        │                                    │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┼──────────┤        ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib              │ CVE-2024-24790 │ CRITICAL │        │ 1.21.9                             │ 1.21.11, 1.22.4                   │ golang: net/netip: Unexpected behavior from Is methods for   │
│                     │                │          │        │                                    │                                   │ IPv4-mapped IPv6 addresses                                   │
│                     │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2024-24790                   │
│                     ├────────────────┼──────────┤        │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2024-34156 │ HIGH     │        │                                    │ 1.22.7, 1.23.1                    │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│                     │                │          │        │                                    │                                   │ which contains deeply nested structures...                   │
│                     │                │          │        │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
└─────────────────────┴────────────────┴──────────┴────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘

Details: https://github.com/canonical/pipelines-rocks/actions/runs/12020367260
@ckfbot ckfbot added the bug Something isn't working label Oct 16, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug Something isn't working
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@ckfbot