Several High and critical vulnerabilities caused by the image #49
Comments
|
Hello, Do you have more details ? Were those vulnerabilities reported in the base image(s) with a static scanning tool ? If so, the vast majority of the time, those vulnerabilities are pretty much meaningless (because they are in packages present in the base image, but nothing makes use of them), but if you do find a vulnerability in something that is actively used in the image, please let us know. A possible workaround if your security team insists on having "clean" images would be to build your own image based on our own and run |
|
Also here an example using
2024-08-20T07:36:46+01:00 INFO [vuln] Vulnerability scanning is enabled
2024-08-20T07:36:46+01:00 INFO [secret] Secret scanning is enabled
2024-08-20T07:36:46+01:00 INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2024-08-20T07:36:46+01:00 INFO [secret] Please see also https://aquasecurity.github.io/trivy/v0.54/docs/scanner/secret#recommendation for faster secret detection
2024-08-20T07:36:48+01:00 INFO Detected OS family="alpine" version="3.19.1"
2024-08-20T07:36:48+01:00 INFO [alpine] Detecting vulnerabilities... os_version="3.19" repository="3.19" pkg_num=92
2024-08-20T07:36:48+01:00 INFO Number of language-specific files num=0
2024-08-20T07:36:48+01:00 WARN Using severities from other vendors for some vulnerabilities. Read https://aquasecurity.github.io/trivy/v0.54/docs/scanner/vulnerability#severity-selectionfor details.
crowdsecurity/openresty (alpine 3.19.1)
=======================================
Total: 56 (UNKNOWN: 1, LOW: 8, MEDIUM: 33, HIGH: 11, CRITICAL: 3)
┌───────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ busybox │ CVE-2023-42363 │ MEDIUM │ fixed │ 1.36.1-r15 │ 1.36.1-r17 │ busybox: use-after-free in awk │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42364 │ │ │ │ 1.36.1-r19 │ busybox: use-after-free │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42366 │ │ │ │ 1.36.1-r16 │ busybox: A heap-buffer-overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │
├───────────────┼────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ busybox-binsh │ CVE-2023-42363 │ │ │ │ 1.36.1-r17 │ busybox: use-after-free in awk │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42364 │ │ │ │ 1.36.1-r19 │ busybox: use-after-free │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42366 │ │ │ │ 1.36.1-r16 │ busybox: A heap-buffer-overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │
├───────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ c-ares │ CVE-2024-25629 │ │ │ 1.24.0-r1 │ 1.27.0-r0 │ c-ares: Out of bounds read in ares__read_line() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25629 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2024-2398 │ HIGH │ │ 8.5.0-r0 │ 8.7.1-r0 │ curl: HTTP/2 push headers memory-leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2398 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-0853 │ MEDIUM │ │ │ 8.6.0-r0 │ curl: OCSP verification bypass with TLS session reuse │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0853 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2004 │ │ │ │ 8.7.1-r0 │ curl: Usage of disabled protocol │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2004 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2379 │ │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2466 │ │ │ │ │ curl: TLS certificate check bypass with mbedTLS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2466 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-6197 │ │ │ │ 8.9.0-r0 │ curl: freeing stack buffer in utf8asn1str │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6197 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-6874 │ │ │ │ │ curl: macidn punycode buffer overread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6874 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ git │ CVE-2024-32002 │ CRITICAL │ │ 2.43.0-r0 │ 2.43.4-r0 │ git: Recursive clones RCE │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32002 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32004 │ HIGH │ │ │ │ git: RCE while cloning local repos │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32004 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32465 │ │ │ │ │ git: additional local RCE │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32465 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32020 │ LOW │ │ │ │ git: insecure hardlinks │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32020 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32021 │ │ │ │ │ git: symlink bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32021 │
├───────────────┼────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ git-perl │ CVE-2024-32002 │ CRITICAL │ │ │ │ git: Recursive clones RCE │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32002 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32004 │ HIGH │ │ │ │ git: RCE while cloning local repos │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32004 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32465 │ │ │ │ │ git: additional local RCE │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32465 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32020 │ LOW │ │ │ │ git: insecure hardlinks │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32020 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32021 │ │ │ │ │ git: symlink bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32021 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcrypto3 │ CVE-2024-4603 │ MEDIUM │ │ 3.1.4-r5 │ 3.1.5-r0 │ openssl: Excessive time spent checking DSA keys and │
│ │ │ │ │ │ │ parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-4741 │ │ │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-5535 │ │ │ │ │ openssl: SSL_select_next_proto buffer overread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2511 │ LOW │ │ │ 3.1.4-r6 │ openssl: Unbounded memory growth with session handling in │
│ │ │ │ │ │ │ TLSv1.3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl │ CVE-2024-2398 │ HIGH │ │ 8.5.0-r0 │ 8.7.1-r0 │ curl: HTTP/2 push headers memory-leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2398 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-0853 │ MEDIUM │ │ │ 8.6.0-r0 │ curl: OCSP verification bypass with TLS session reuse │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0853 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2004 │ │ │ │ 8.7.1-r0 │ curl: Usage of disabled protocol │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2004 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2379 │ │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2466 │ │ │ │ │ curl: TLS certificate check bypass with mbedTLS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2466 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-6197 │ │ │ │ 8.9.0-r0 │ curl: freeing stack buffer in utf8asn1str │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6197 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-6874 │ │ │ │ │ curl: macidn punycode buffer overread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6874 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libdav1d │ CVE-2024-1580 │ UNKNOWN │ │ 1.3.0-r0 │ 1.3.0-r1 │ An integer overflow in dav1d AV1 decoder that can occur when │
│ │ │ │ │ │ │ decoding... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-1580 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat │ CVE-2023-52425 │ HIGH │ │ 2.5.0-r2 │ 2.6.0-r0 │ expat: parsing large tokens can trigger a denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52425 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28757 │ │ │ │ 2.6.2-r0 │ expat: XML Entity Expansion │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28757 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-52426 │ MEDIUM │ │ │ 2.6.0-r0 │ expat: recursive XML entity expansion vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52426 │
├───────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3 │ CVE-2024-4603 │ │ │ 3.1.4-r5 │ 3.1.5-r0 │ openssl: Excessive time spent checking DSA keys and │
│ │ │ │ │ │ │ parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-4741 │ │ │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-5535 │ │ │ │ │ openssl: SSL_select_next_proto buffer overread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2511 │ LOW │ │ │ 3.1.4-r6 │ openssl: Unbounded memory growth with session handling in │
│ │ │ │ │ │ │ TLSv1.3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2 │ CVE-2024-25062 │ HIGH │ │ 2.11.6-r0 │ 2.11.7-r0 │ libxml2: use-after-free in XMLReader │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25062 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34459 │ MEDIUM │ │ │ 2.11.8-r0 │ libxml2: buffer over-read in xmlHTMLPrintFileContext in │
│ │ │ │ │ │ │ xmllint.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34459 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-git │ CVE-2024-32002 │ CRITICAL │ │ 2.43.0-r0 │ 2.43.4-r0 │ git: Recursive clones RCE │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32002 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32004 │ HIGH │ │ │ │ git: RCE while cloning local repos │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32004 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32465 │ │ │ │ │ git: additional local RCE │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32465 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32020 │ LOW │ │ │ │ git: insecure hardlinks │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32020 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-32021 │ │ │ │ │ git: symlink bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-32021 │
├───────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ssl_client │ CVE-2023-42363 │ MEDIUM │ │ 1.36.1-r15 │ 1.36.1-r17 │ busybox: use-after-free in awk │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42364 │ │ │ │ 1.36.1-r19 │ busybox: use-after-free │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42366 │ │ │ │ 1.36.1-r16 │ busybox: A heap-buffer-overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │
└───────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘Scan using a locally built image using repo and no modifications: Seems the upstream alpine image provided by |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Hi Crowdsec Team, first of all thanks for this great product, I used it a lot in the past months and really liked it.
Unfortunately this image as well as the kubernetes lapi and deamonsets expose a lot of vulnerabilities, so I was forced to remove this from our production environments. Is there any process in place to watch and remediate vulnerabilities? As this is loaded in the ingress controller and therefore public phasing, our security team was forcing the shutdown of this security solution due to security issues. Actually most of our production vulnerabilities was caused by crowdstrice in the last weeks :(
The text was updated successfully, but these errors were encountered: