Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Security vulnerabilities in container image #2810

Closed
5 tasks
pratikbin opened this issue Nov 3, 2022 · 0 comments · Fixed by #2811
Closed
5 tasks

Security vulnerabilities in container image #2810

pratikbin opened this issue Nov 3, 2022 · 0 comments · Fixed by #2811
Milestone
v1.2

Comments

@pratikbin
Copy link
Contributor

Summary

Resolves container image vulnerabilities

Problem Definition

Current informalsystems/hermes:1.1.0 image contains

Total: 106 (UNKNOWN: 1, LOW: 76, MEDIUM: 4, HIGH: 23, CRITICAL: 2) vulnerabilities which come from debian

Before 
$ trivy i docker.io/informalsystems/hermes:1.1.0
2022-11-03T14:21:53.152+0100	INFO	Vulnerability scanning is enabled
2022-11-03T14:21:53.152+0100	INFO	Secret scanning is enabled
2022-11-03T14:21:53.152+0100	INFO	If your scanning is slow, please try '--security-checks vuln' to disable secret scanning
2022-11-03T14:21:53.153+0100	INFO	Please see also https://aquasecurity.github.io/trivy/v0.31.2/docs/secret/scanning/#recommendation for faster secret detection
2022-11-03T14:21:55.091+0100	INFO	Detected OS: debian
2022-11-03T14:21:55.091+0100	INFO	Detecting Debian vulnerabilities...
2022-11-03T14:21:55.099+0100	INFO	Number of language-specific files: 0

assetmantle/hermes:stable-slim (debian 11.5)

Total: 77 (UNKNOWN: 0, LOW: 63, MEDIUM: 2, HIGH: 10, CRITICAL: 2)

┌──────────────────┬──────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │  Vulnerability   │ Severity │ Installed Version │ Fixed Version │                            Title                             │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apt              │ CVE-2011-3374    │ LOW      │ 2.2.4             │               │ It was found that apt-key in apt, all versions, do not       │
│                  │                  │          │                   │               │ correctly...                                                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils         │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils        │ CVE-2016-2781    │          │ 8.32-4            │               │ coreutils: Non-privileged session can escape to the parent   │
│                  │                  │          │                   │               │ session in chroot                                            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-18018   │          │                   │               │ coreutils: race condition vulnerability in chown and chgrp   │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2017-18018                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ e2fsprogs        │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │               │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0    │ CVE-2011-3374    │ LOW      │ 2.2.4             │               │ It was found that apt-key in apt, all versions, do not       │
│                  │                  │          │                   │               │ correctly...                                                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1        │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin         │ CVE-2010-4756    │          │ 2.31-13+deb11u5   │               │ glibc: glob implementation can cause excessive CPU and       │
│                  │                  │          │                   │               │ memory consumption due to...                                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-20796   │          │                   │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010022 │          │                   │               │ glibc: stack guard protection bypass                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010023 │          │                   │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                  │                  │          │                   │               │ because of...                                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010024 │          │                   │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010025 │          │                   │               │ glibc: information disclosure of heap addresses of           │
│                  │                  │          │                   │               │ pthread_created thread                                       │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-9192    │          │                   │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├──────────────────┼──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libc6            │ CVE-2010-4756    │          │                   │               │ glibc: glob implementation can cause excessive CPU and       │
│                  │                  │          │                   │               │ memory consumption due to...                                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-20796   │          │                   │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010022 │          │                   │               │ glibc: stack guard protection bypass                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010023 │          │                   │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                  │                  │          │                   │               │ because of...                                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010024 │          │                   │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010025 │          │                   │               │ glibc: information disclosure of heap addresses of           │
│                  │                  │          │                   │               │ pthread_created thread                                       │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-9192    │          │                   │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcom-err2      │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │               │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3         │ CVE-2019-8457    │ CRITICAL │ 5.3.28+dfsg1-0.8  │               │ sqlite: heap out-of-bound read in function rtreenode()       │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-8457                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libext2fs2       │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │               │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20      │ CVE-2021-33560   │          │ 1.8.7-6           │               │ libgcrypt: mishandles ElGamal encryption because it lacks    │
│                  │                  │          │                   │               │ exponent blinding to address a...                            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-33560                   │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-6829    │ LOW      │                   │               │ libgcrypt: ElGamal implementation doesn't have semantic      │
│                  │                  │          │                   │               │ security due to incorrectly encoded plaintexts...            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-6829                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30      │ CVE-2011-3389    │          │ 3.7.1-5+deb11u2   │               │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS    │
│                  │                  │          │                   │               │ (BEAST)                                                      │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2011-3389                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2004-0971    │          │ 1.18.3-6+deb11u2  │               │ security flaw                                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2004-0971                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-5709    │          │                   │               │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │                   │               │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┼──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3     │ CVE-2004-0971    │          │                   │               │ security flaw                                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2004-0971                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-5709    │          │                   │               │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │                   │               │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┼──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3        │ CVE-2004-0971    │          │                   │               │ security flaw                                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2004-0971                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-5709    │          │                   │               │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │                   │               │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┼──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0  │ CVE-2004-0971    │          │                   │               │ security flaw                                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2004-0971                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-5709    │          │                   │               │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │                   │               │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1        │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3         │ CVE-2017-11164   │          │ 2:8.39-13         │               │ pcre: OP_KETRMAX feature in the match function in            │
│                  │                  │          │                   │               │ pcre_exec.c                                                  │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2017-11164                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-16231   │          │                   │               │ pcre: self-recursive call in match() in pcre_exec.c leads to │
│                  │                  │          │                   │               │ denial of service...                                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2017-16231                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-7245    │          │                   │               │ pcre: stack-based buffer overflow write in                   │
│                  │                  │          │                   │               │ pcre32_copy_substring                                        │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2017-7245                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-7246    │          │                   │               │ pcre: stack-based buffer overflow write in                   │
│                  │                  │          │                   │               │ pcre32_copy_substring                                        │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2017-7246                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-20838   │          │                   │               │ pcre: Buffer over-read in JIT when UTF is disabled and \X    │
│                  │                  │          │                   │               │ or...                                                        │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-20838                   │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsepol1        │ CVE-2021-36084   │          │ 3.1-1             │               │ libsepol: use-after-free in __cil_verify_classperms()        │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-36084                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-36085   │          │                   │               │ libsepol: use-after-free in __cil_verify_classperms()        │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-36085                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-36086   │          │                   │               │ libsepol: use-after-free in cil_reset_classpermission()      │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-36086                   │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-36087   │          │                   │               │ libsepol: heap-based buffer overflow in ebitmap_match_any()  │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-36087                   │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1    │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libss2           │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │               │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl-dev       │ CVE-2022-2097    │ MEDIUM   │ 1.1.1n-0+deb11u3  │               │ openssl: AES OCB fails to encrypt some bytes                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-2097                    │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2007-6755    │ LOW      │                   │               │ Dual_EC_DRBG: weak pseudo random number generator            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-6755                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2010-0928    │          │                   │               │ openssl: RSA authentication weakness                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-0928                    │
├──────────────────┼──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1        │ CVE-2022-2097    │ MEDIUM   │                   │               │ openssl: AES OCB fails to encrypt some bytes                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-2097                    │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2007-6755    │ LOW      │                   │               │ Dual_EC_DRBG: weak pseudo random number generator            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-6755                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2010-0928    │          │                   │               │ openssl: RSA authentication weakness                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-0928                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0      │ CVE-2013-4392    │          │ 247.3-7+deb11u1   │               │ systemd: TOCTOU race condition when updating file            │
│                  │                  │          │                   │               │ permissions and SELinux security contexts...                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2020-13529   │          │                   │               │ systemd: DHCP FORCERENEW authentication not implemented can  │
│                  │                  │          │                   │               │ cause a system running the...                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2020-13529                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtasn1-6       │ CVE-2021-46848   │ CRITICAL │ 4.16.0-2          │               │ GNU Libtasn1 before 4.19.0 has an ETYPE_OK off-by-one array  │
│                  │                  │          │                   │               │ size check ......                                            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-46848                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6        │ CVE-2022-29458   │ HIGH     │ 6.2+20201114-2    │               │ ncurses: segfaulting OOB read                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-29458                   │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-39537   │ LOW      │                   │               │ ncurses: heap-based buffer overflow in _nc_captoinfo() in    │
│                  │                  │          │                   │               │ captoinfo.c                                                  │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-39537                   │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1         │ CVE-2013-4392    │          │ 247.3-7+deb11u1   │               │ systemd: TOCTOU race condition when updating file            │
│                  │                  │          │                   │               │ permissions and SELinux security contexts...                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2020-13529   │          │                   │               │ systemd: DHCP FORCERENEW authentication not implemented can  │
│                  │                  │          │                   │               │ cause a system running the...                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2020-13529                   │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1         │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login            │ CVE-2007-5686    │          │ 1:4.8.1-1         │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                  │                  │          │                   │               │ the /var/lo ......                                           │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-4235    │          │                   │               │ shadow-utils: TOCTOU race conditions by copying and removing │
│                  │                  │          │                   │               │ directory trees                                              │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2013-4235                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-19882   │          │                   │               │ shadow-utils: local users can obtain root access because     │
│                  │                  │          │                   │               │ setuid programs are misconfigured...                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-19882                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ logsave          │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │               │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ mount            │ CVE-2022-0563    │ LOW      │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base     │ CVE-2022-29458   │ HIGH     │ 6.2+20201114-2    │               │ ncurses: segfaulting OOB read                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-29458                   │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-39537   │ LOW      │                   │               │ ncurses: heap-based buffer overflow in _nc_captoinfo() in    │
│                  │                  │          │                   │               │ captoinfo.c                                                  │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-39537                   │
├──────────────────┼──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin      │ CVE-2022-29458   │ HIGH     │                   │               │ ncurses: segfaulting OOB read                                │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-29458                   │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-39537   │ LOW      │                   │               │ ncurses: heap-based buffer overflow in _nc_captoinfo() in    │
│                  │                  │          │                   │               │ captoinfo.c                                                  │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-39537                   │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd           │ CVE-2007-5686    │          │ 1:4.8.1-1         │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                  │                  │          │                   │               │ the /var/lo ......                                           │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-4235    │          │                   │               │ shadow-utils: TOCTOU race conditions by copying and removing │
│                  │                  │          │                   │               │ directory trees                                              │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2013-4235                    │
│                  ├──────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-19882   │          │                   │               │ shadow-utils: local users can obtain root access because     │
│                  │                  │          │                   │               │ setuid programs are misconfigured...                         │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-19882                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base        │ CVE-2020-16156   │ HIGH     │ 5.32.1-4+deb11u2  │               │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │
│                  │                  │          │                   │               │ files                                                        │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2020-16156                   │
│                  ├──────────────────┼──────────┤                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2011-4116    │ LOW      │                   │               │ perl: File::Temp insecure temporary file handling            │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar              │ CVE-2005-2541    │          │ 1.34+dfsg-1       │               │ tar: does not properly warn the user when extracting setuid  │
│                  │                  │          │                   │               │ or setgid...                                                 │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
├──────────────────┼──────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux       │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │               │ and chsh when compiled...                                    │
│                  │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
└──────────────────┴──────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

Reports by trivy

Proposal

Switching to ubuntu:rolling resolves majority of vulnerabilities

Total: 9 (UNKNOWN: 0, LOW: 8, MEDIUM: 1, HIGH: 0, CRITICAL: 0)

Reports by trivy

Doing other changes as well which will fasten up the container image build process with efficient caching, Remove few unnecessary instructions etc. Will put full chagelog in PR description

After 
$ trivy i assetmantle/hermes:new
assetmantle/hermes:new (ubuntu 22.10)

Total: 9 (UNKNOWN: 0, LOW: 8, MEDIUM: 1, HIGH: 0, CRITICAL: 0)

┌───────────┬────────────────┬──────────┬─────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
  Library   Vulnerability   Severity     Installed Version     Fixed Version                             Title                             
├───────────┼────────────────┼──────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
 coreutils  CVE-2016-2781   LOW       8.32-4.1ubuntu1                         coreutils: Non-privileged session can escape to the parent   
                                                                              session in chroot                                            
                                                                              https://avd.aquasec.com/nvd/cve-2016-2781                    │
├───────────┼────────────────┤          ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
 gpgv       CVE-2022-3219             2.2.35-3ubuntu1                         gnupg: denial of service issue (resource consumption) using  
                                                                              compressed packets                                           
                                                                              https://avd.aquasec.com/nvd/cve-2022-3219                    │
├───────────┼────────────────┤          ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
 libc-bin   CVE-2016-20013            2.36-0ubuntu4                           sha256crypt and sha512crypt through 0.6 allow attackers to   
                                                                              cause a denial of...                                         
                                                                              https://avd.aquasec.com/nvd/cve-2016-20013                   │
├───────────┤                                                   ├───────────────┤                                                              
 libc6                                                                                                                                     
                                                                                                                                           
                                                                                                                                           
├───────────┼────────────────┤          ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
 libpcre3   CVE-2017-11164            2:8.39-14                               pcre: OP_KETRMAX feature in the match function in            
                                                                              pcre_exec.c                                                  
                                                                              https://avd.aquasec.com/nvd/cve-2017-11164                   │
           ├────────────────┤                                   ├───────────────┼──────────────────────────────────────────────────────────────┤
            CVE-2019-20838                                                    pcre: Buffer over-read in JIT when UTF is disabled and \X    
                                                                              or...                                                        
                                                                              https://avd.aquasec.com/nvd/cve-2019-20838                   │
├───────────┼────────────────┤          ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
 login      CVE-2013-4235             1:4.11.1+dfsg1-2ubuntu1                 shadow-utils: TOCTOU race conditions by copying and removing 
                                                                              directory trees                                              
                                                                              https://avd.aquasec.com/nvd/cve-2013-4235                    │
├───────────┤                                                   ├───────────────┤                                                              
 passwd                                                                                                                                    
                                                                                                                                           
                                                                                                                                           
├───────────┼────────────────┼──────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
 perl-base  CVE-2020-16156  MEDIUM    5.34.0-5ubuntu1                         perl-CPAN: Bypass of verification of signatures in CHECKSUMS 
                                                                              files                                                        
                                                                              https://avd.aquasec.com/nvd/cve-2020-16156                   │
└───────────┴────────────────┴──────────┴─────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

Reports by trivy

Acceptance Criteria

There are no breaking changes

For Admin Use

  • Not duplicate issue
  • Appropriate labels applied
  • Appropriate milestone (priority) applied
  • Appropriate contributors tagged
  • Contributor assigned/self-assigned
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
v1.2
Development

Successfully merging a pull request may close this issue.

Dockerfile: Use rolling Ubuntu as base image and enable CI caching in release job pratikbin/hermes
2 participants
@adizere @pratikbin