Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Doing any updates to vulnerabilities in 7.0.3 version? #37

Open
Mattias-clearroute opened this issue Sep 4, 2023 · 1 comment
Open

Doing any updates to vulnerabilities in 7.0.3 version? #37

Mattias-clearroute opened this issue Sep 4, 2023 · 1 comment
Labels
backlog Backlog

Comments

@Mattias-clearroute
Copy link

Hi, do you have any plans on updating the attached vulnerabilities in the allure docker service ui (ran with trivy security scanner) or is it best to fork the repo ourselves and do so in the image?

frankescobar/allure-docker-service-ui (debian 10.5)

Total: 25 (CRITICAL: 25)


┌────────────────┬────────────────┬──────────┬──────────────┬───────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐
│    Library     │ Vulnerability  │ Severity │    Status    │   Installed Version   │      Fixed Version      │                            Title                             │
├────────────────┼────────────────┼──────────┼──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl           │ CVE-2022-32221 │ CRITICAL │ fixed        │ 7.64.0-4+deb10u1      │ 7.64.0-4+deb10u4        │ POST following PUT confusion                                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-32221                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ dpkg           │ CVE-2022-1664  │          │              │ 1.19.7                │ 1.19.8                  │ Dpkg::Source::Archive in dpkg, the Debian package management │
│                │                │          │              │                       │                         │ system, b ...                                                │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-1664                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin       │ CVE-2021-33574 │          │              │ 2.28-10               │ 2.28-10+deb10u2         │ mq_notify does not handle separately allocated thread        │
│                │                │          │              │                       │                         │ attributes                                                   │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-33574                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2021-35942 │          │              │                       │                         │ glibc: Arbitrary read in wordexp()                           │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-35942                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23218 │          │              │                       │                         │ glibc: Stack-based buffer overflow in svcunix_create via     │
│                │                │          │              │                       │                         │ long pathnames                                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23218                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23219 │          │              │                       │                         │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │
│                │                │          │              │                       │                         │ a long pathname                                              │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23219                   │
├────────────────┼────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│ libc6          │ CVE-2021-33574 │          │              │                       │                         │ mq_notify does not handle separately allocated thread        │
│                │                │          │              │                       │                         │ attributes                                                   │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-33574                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2021-35942 │          │              │                       │                         │ glibc: Arbitrary read in wordexp()                           │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-35942                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23218 │          │              │                       │                         │ glibc: Stack-based buffer overflow in svcunix_create via     │
│                │                │          │              │                       │                         │ long pathnames                                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23218                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-23219 │          │              │                       │                         │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │
│                │                │          │              │                       │                         │ a long pathname                                              │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-23219                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4       │ CVE-2022-32221 │          │              │ 7.64.0-4+deb10u1      │ 7.64.0-4+deb10u4        │ POST following PUT confusion                                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-32221                   │
├────────────────┼────────────────┤          ├──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3       │ CVE-2019-8457  │          │ will_not_fix │ 5.3.28+dfsg1-0.5      │                         │ sqlite: heap out-of-bound read in function rtreenode()       │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2019-8457                    │
├────────────────┼────────────────┤          ├──────────────┼───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30    │ CVE-2021-20231 │          │ fixed        │ 3.6.7-4+deb10u5       │ 3.6.7-4+deb10u7         │ gnutls: Use after free in client key_share extension         │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-20231                   │
│                ├────────────────┤          │              │                       │                         ├──────────────────────────────────────────────────────────────┤
│                │ CVE-2021-20232 │          │              │                       │                         │ gnutls: Use after free in client_send_params in              │
│                │                │          │              │                       │                         │ lib/ext/pre_shared_key.c                                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-20232                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.4-2  │ CVE-2022-29155 │          │              │ 2.4.47+dfsg-3+deb10u4 │ 2.4.47+dfsg-3+deb10u7   │ openldap: OpenLDAP SQL injection                             │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-29155                   │
├────────────────┤                │          │              │                       │                         │                                                              │
│ libldap-common │                │          │              │                       │                         │                                                              │
│                │                │          │              │                       │                         │                                                              │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblz4-1       │ CVE-2021-3520  │          │              │ 1.8.3-1               │ 1.8.3-1+deb10u1         │ memory corruption due to an integer overflow bug caused by   │
│                │                │          │              │                       │                         │ memmove argument...                                          │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-3520                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1      │ CVE-2021-3711  │          │              │ 1.1.1d-0+deb10u4      │ 1.1.1d-0+deb10u7        │ SM2 Decryption Buffer Overflow                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-3711                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-1292  │          │              │                       │ 1.1.1n-0+deb10u2        │ c_rehash script allows command injection                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-1292                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-2068  │          │              │                       │ 1.1.1n-0+deb10u3        │ the c_rehash script allows command injection                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-2068                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtasn1-6     │ CVE-2021-46848 │          │              │ 4.13-3                │ 4.13-3+deb10u1          │ libtasn1: Out-of-bound access in ETYPE_OK                    │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-46848                   │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl        │ CVE-2021-3711  │          │              │ 1.1.1d-0+deb10u4      │ 1.1.1d-0+deb10u7        │ SM2 Decryption Buffer Overflow                               │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2021-3711                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-1292  │          │              │                       │ 1.1.1n-0+deb10u2        │ c_rehash script allows command injection                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-1292                    │
│                ├────────────────┤          │              │                       ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│                │ CVE-2022-2068  │          │              │                       │ 1.1.1n-0+deb10u3        │ the c_rehash script allows command injection                 │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-2068                    │
├────────────────┼────────────────┤          │              ├───────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g         │ CVE-2022-37434 │          │              │ 1:1.2.11.dfsg-1       │ 1:1.2.11.dfsg-1+deb10u2 │ heap-based buffer over-read and overflow in inflate() in     │
│                │                │          │              │                       │                         │ inflate.c via a large...                                     │
│                │                │          │              │                       │                         │ https://avd.aquasec.com/nvd/cve-2022-37434                   │
└────────────────┴────────────────┴──────────┴──────────────┴───────────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘

Node.js (node-pkg)
==================
Total: 3 (CRITICAL: 3)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                   Title                    │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────┤
│ json-schema (package.json) │ CVE-2021-3918  │ CRITICAL │ fixed  │ 0.2.3             │ 0.4.0         │ Prototype pollution vulnerability          │
│                            │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2021-3918  │
├────────────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼────────────────────────────────────────────┤
│ minimist (package.json)    │ CVE-2021-44906 │          │        │ 1.2.5             │ 1.2.6, 0.2.4  │ prototype pollution                        │
│                            │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2021-44906 │
│                            │                │          │        │                   │               │                                            │
│                            │                │          │        │                   │               │                                            │
│                            │                │          │        │                   │               │                                            │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────┘
@fescobar fescobar added the backlog Backlog label Mar 13, 2024
@fescobar
Copy link
Owner

I will release the update in a few days.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
backlog Backlog
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@fescobar @Mattias-clearroute