Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Trivy image scan showing many vulnerabilities #1716

Open
DavidACastagna opened this issue Mar 7, 2024 · 1 comment
Open

Trivy image scan showing many vulnerabilities #1716

DavidACastagna opened this issue Mar 7, 2024 · 1 comment
Labels
🐋 docker Related to Docker code

Comments

@DavidACastagna
Copy link

DavidACastagna commented Mar 7, 2024
edited
Loading

We have an internal process that uses "Trivy" to scan for vulnerabilities. According to that tool 0.24.1 has a lot of vulnerabilities in it. Not sure exactly what it takes to fix this but can we get an image with these addressed for those that have fixes? (Note: I logged a different ticket some time ago related to a couple other vulnerabilities that showed up in the same scan - but those were explained. This ticket is about the ones below:)

The full report: kroki-0.24.1.trivy.json

The summary:

yuzutech/kroki:0.24.1 (ubuntu 22.04)

Total: 91 (UNKNOWN: 0, LOW: 52, MEDIUM: 39, HIGH: 0, CRITICAL: 0)

┌────────────────────┬────────────────┬──────────┬──────────┬──────────────────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│      Library       │ Vulnerability  │ Severity │  Status  │      Installed Version       │        Fixed Version         │                            Title                             │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ bash               │ CVE-2022-3715  │ LOW      │ affected │ 5.1-6ubuntu1                 │                              │ a heap-buffer-overflow in valid_parameter_transform          │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-3715                    │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils          │ CVE-2016-2781  │          │          │ 8.32-4.1ubuntu1              │                              │ coreutils: Non-privileged session can escape to the parent   │
│                    │                │          │          │                              │                              │ session in chroot                                            │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl               │ CVE-2023-46218 │ MEDIUM   │ fixed    │ 7.81.0-1ubuntu1.14           │ 7.81.0-1ubuntu1.15           │ curl: information disclosure by exploiting a mixed case flaw │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-46218                   │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base        │ CVE-2022-27943 │ LOW      │ affected │ 12.3.0-1ubuntu1~22.04        │                              │ libiberty/rust-demangle.c in GNU GCC 11.2 allows stack       │
│                    │                │          │          │                              │                              │ exhaustion in demangle_const                                 │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv               │ CVE-2022-3219  │          │          │ 2.2.27-3ubuntu2.1            │                              │ denial of service issue (resource consumption) using         │
│                    │                │          │          │                              │                              │ compressed packets                                           │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin           │ CVE-2023-5156  │ MEDIUM   │ fixed    │ 2.35-0ubuntu3.4              │ 2.35-0ubuntu3.5              │ glibc: DoS due to memory leak in getaddrinfo.c               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5156                    │
│                    ├────────────────┼──────────┼──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2016-20013 │ LOW      │ affected │                              │                              │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                    │                │          │          │                              │                              │ cause a denial of...                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4806  │          │ fixed    │                              │ 2.35-0ubuntu3.5              │ glibc: potential use-after-free in getaddrinfo()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4806                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4813  │          │          │                              │                              │ glibc: potential use-after-free in gaih_inet()               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4813                    │
├────────────────────┼────────────────┼──────────┤          │                              │                              ├──────────────────────────────────────────────────────────────┤
│ libc6              │ CVE-2023-5156  │ MEDIUM   │          │                              │                              │ glibc: DoS due to memory leak in getaddrinfo.c               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5156                    │
│                    ├────────────────┼──────────┼──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2016-20013 │ LOW      │ affected │                              │                              │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                    │                │          │          │                              │                              │ cause a denial of...                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4806  │          │ fixed    │                              │ 2.35-0ubuntu3.5              │ glibc: potential use-after-free in getaddrinfo()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4806                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4813  │          │          │                              │                              │ glibc: potential use-after-free in gaih_inet()               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4813                    │
├────────────────────┼────────────────┼──────────┤          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4           │ CVE-2023-46218 │ MEDIUM   │          │ 7.81.0-1ubuntu1.14           │ 7.81.0-1ubuntu1.15           │ curl: information disclosure by exploiting a mixed case flaw │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-46218                   │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat1          │ CVE-2023-52426 │          │ affected │ 2.4.7-1ubuntu0.2             │                              │ expat: recursive XML entity expansion vulnerability          │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-52426                   │
├────────────────────┼────────────────┼──────────┤          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1          │ CVE-2022-27943 │ LOW      │          │ 12.3.0-1ubuntu1~22.04        │                              │ libiberty/rust-demangle.c in GNU GCC 11.2 allows stack       │
│                    │                │          │          │                              │                              │ exhaustion in demangle_const                                 │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30        │ CVE-2023-5981  │ MEDIUM   │ fixed    │ 3.7.3-4ubuntu1.2             │ 3.7.3-4ubuntu1.3             │ gnutls: timing side-channel in the RSA-PSK authentication    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5981                    │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-0553  │          │          │                              │ 3.7.3-4ubuntu1.4             │ gnutls: incomplete fix for CVE-2023-5981                     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-0553                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-0567  │          │          │                              │                              │ gnutls: rejects certificate chain with distributed trust     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-0567                    │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2   │ CVE-2023-36054 │          │          │ 1.19.2-2ubuntu0.2            │ 1.19.2-2ubuntu0.3            │ krb5: Denial of service through freeing uninitialized        │
│                    │                │          │          │                              │                              │ pointer                                                      │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-36054                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458 │          │ affected │                              │                              │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26462 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
├────────────────────┼────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3       │ CVE-2023-36054 │          │ fixed    │                              │ 1.19.2-2ubuntu0.3            │ krb5: Denial of service through freeing uninitialized        │
│                    │                │          │          │                              │                              │ pointer                                                      │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-36054                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458 │          │ affected │                              │                              │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26462 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
├────────────────────┼────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3          │ CVE-2023-36054 │          │ fixed    │                              │ 1.19.2-2ubuntu0.3            │ krb5: Denial of service through freeing uninitialized        │
│                    │                │          │          │                              │                              │ pointer                                                      │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-36054                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458 │          │ affected │                              │                              │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26462 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
├────────────────────┼────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0    │ CVE-2023-36054 │          │ fixed    │                              │ 1.19.2-2ubuntu0.3            │ krb5: Denial of service through freeing uninitialized        │
│                    │                │          │          │                              │                              │ pointer                                                      │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-36054                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458 │          │ affected │                              │                              │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26462 │          │          │                              │                              │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.5-0      │ CVE-2023-2953  │ LOW      │ fixed    │ 2.5.16+dfsg-0ubuntu0.22.04.1 │ 2.5.16+dfsg-0ubuntu0.22.04.2 │ null pointer dereference in ber_memalloc_x function          │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-2953                    │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5           │ CVE-2020-22916 │ MEDIUM   │ affected │ 5.2.5-2ubuntu1               │                              │ Denial of service via decompression of crafted file          │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2020-22916                   │
├────────────────────┼────────────────┼──────────┤          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6        │ CVE-2023-45918 │ LOW      │          │ 6.3-2ubuntu0.1               │                              │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                    │                │          │          │                              │                              │ tgetstr in tinf ......                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-50495 │          │          │                              │                              │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6       │ CVE-2023-45918 │          │          │                              │                              │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                    │                │          │          │                              │                              │ tgetstr in tinf ......                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-50495 │          │          │                              │                              │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libnghttp2-14      │ CVE-2023-44487 │ MEDIUM   │ fixed    │ 1.43.0-1build3               │ 1.43.0-1ubuntu0.1            │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable   │
│                    │                │          │          │                              │                              │ to a DDoS attack...                                          │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules     │ CVE-2024-22365 │          │          │ 1.4.0-11ubuntu2.3            │ 1.4.0-11ubuntu2.4            │ pam: allowing unpriledged user to block another user         │
│                    │                │          │          │                              │                              │ namespace                                                    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┤                │          │          │                              │                              │                                                              │
│ libpam-modules-bin │                │          │          │                              │                              │                                                              │
│                    │                │          │          │                              │                              │                                                              │
│                    │                │          │          │                              │                              │                                                              │
├────────────────────┤                │          │          │                              │                              │                                                              │
│ libpam-runtime     │                │          │          │                              │                              │                                                              │
│                    │                │          │          │                              │                              │                                                              │
│                    │                │          │          │                              │                              │                                                              │
├────────────────────┤                │          │          │                              │                              │                                                              │
│ libpam0g           │                │          │          │                              │                              │                                                              │
│                    │                │          │          │                              │                              │                                                              │
│                    │                │          │          │                              │                              │                                                              │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3           │ CVE-2017-11164 │ LOW      │ affected │ 2:8.39-13ubuntu0.22.04.1     │                              │ OP_KETRMAX feature in the match function in pcre_exec.c      │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2017-11164                   │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16        │ CVE-2022-3857  │          │          │ 1.6.37-3build5               │                              │ Null pointer dereference leads to segmentation fault         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-3857                    │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libprocps8         │ CVE-2023-4016  │          │ fixed    │ 2:3.3.17-6ubuntu2            │ 2:3.3.17-6ubuntu2.1          │ procps: ps buffer overflow                                   │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4016                    │
├────────────────────┼────────────────┼──────────┤          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssh-4           │ CVE-2023-48795 │ MEDIUM   │          │ 0.9.6-2ubuntu0.22.04.1       │ 0.9.6-2ubuntu0.22.04.2       │ ssh: Prefix truncation attack on Binary Packet Protocol      │
│                    │                │          │          │                              │                              │ (BPP)                                                        │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-48795                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-6004  │          │          │                              │ 0.9.6-2ubuntu0.22.04.3       │ libssh: ProxyCommand/ProxyJump features allow injection of   │
│                    │                │          │          │                              │                              │ malicious code through hostname                              │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-6004                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-6918  │          │          │                              │                              │ libssh: Missing checks for return values for digests         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-6918                    │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3            │ CVE-2023-5363  │          │          │ 3.0.2-0ubuntu1.10            │ 3.0.2-0ubuntu1.12            │ openssl: Incorrect cipher key and IV length processing       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5363                    │
│                    ├────────────────┼──────────┤          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-2975  │ LOW      │          │                              │                              │ openssl: AES-SIV cipher implementation contains a bug that   │
│                    │                │          │          │                              │                              │ causes it to ignore...                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-2975                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-3446  │          │          │                              │                              │ openssl: Excessive time spent checking DH keys and           │
│                    │                │          │          │                              │                              │ parameters                                                   │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-3446                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-3817  │          │          │                              │                              │ OpenSSL: Excessive time spent checking DH q parameter value  │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-3817                    │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-5678  │          │          │                              │ 3.0.2-0ubuntu1.14            │ openssl: Generating excessively long X9.42 DH keys or        │
│                    │                │          │          │                              │                              │ checking excessively long X9.42...                           │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5678                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-6129  │          │          │                              │                              │ openssl: POLY1305 MAC implementation corrupts vector         │
│                    │                │          │          │                              │                              │ registers on PowerPC                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-6129                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-6237  │          │          │                              │                              │ openssl: Excessive time spent checking invalid RSA public    │
│                    │                │          │          │                              │                              │ keys                                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-6237                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-0727  │          │          │                              │                              │ openssl: denial of service via null dereference              │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-0727                    │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6         │ CVE-2022-27943 │          │ affected │ 12.3.0-1ubuntu1~22.04        │                              │ libiberty/rust-demangle.c in GNU GCC 11.2 allows stack       │
│                    │                │          │          │                              │                              │ exhaustion in demangle_const                                 │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0        │ CVE-2023-7008  │          │          │ 249.11-0ubuntu3.10           │                              │ systemd-resolved: Unsigned name response in signed zone is   │
│                    │                │          │          │                              │                              │ not refused when DNSSEC=yes...                               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-7008                    │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6          │ CVE-2023-45918 │          │          │ 6.3-2ubuntu0.1               │                              │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                    │                │          │          │                              │                              │ tgetstr in tinf ......                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-50495 │          │          │                              │                              │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1           │ CVE-2023-7008  │          │          │ 249.11-0ubuntu3.10           │                              │ systemd-resolved: Unsigned name response in signed zone is   │
│                    │                │          │          │                              │                              │ not refused when DNSSEC=yes...                               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-7008                    │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1           │ CVE-2022-4899  │          │          │ 1.4.8+dfsg-3build1           │                              │ zstd: mysql: buffer overrun in util.c                        │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-4899                    │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ locales            │ CVE-2023-5156  │ MEDIUM   │ fixed    │ 2.35-0ubuntu3.4              │ 2.35-0ubuntu3.5              │ glibc: DoS due to memory leak in getaddrinfo.c               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5156                    │
│                    ├────────────────┼──────────┼──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2016-20013 │ LOW      │ affected │                              │                              │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                    │                │          │          │                              │                              │ cause a denial of...                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4806  │          │ fixed    │                              │ 2.35-0ubuntu3.5              │ glibc: potential use-after-free in getaddrinfo()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4806                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4813  │          │          │                              │                              │ glibc: potential use-after-free in gaih_inet()               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4813                    │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ login              │ CVE-2023-29383 │          │ affected │ 1:4.8.1-2ubuntu2.1           │                              │ Improper input validation in shadow-utils package utility    │
│                    │                │          │          │                              │                              │ chfn                                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4641  │          │ fixed    │                              │ 1:4.8.1-2ubuntu2.2           │ shadow-utils: possible password leak during passwd(1) change │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base       │ CVE-2023-45918 │          │ affected │ 6.3-2ubuntu0.1               │                              │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                    │                │          │          │                              │                              │ tgetstr in tinf ......                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-50495 │          │          │                              │                              │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin        │ CVE-2023-45918 │          │          │                              │                              │ ncurses 6.4-20230610 has a NULL pointer dereference in       │
│                    │                │          │          │                              │                              │ tgetstr in tinf ......                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-50495 │          │          │                              │                              │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼────────────────┼──────────┼──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl            │ CVE-2023-5363  │ MEDIUM   │ fixed    │ 3.0.2-0ubuntu1.10            │ 3.0.2-0ubuntu1.12            │ openssl: Incorrect cipher key and IV length processing       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5363                    │
│                    ├────────────────┼──────────┤          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-2975  │ LOW      │          │                              │                              │ openssl: AES-SIV cipher implementation contains a bug that   │
│                    │                │          │          │                              │                              │ causes it to ignore...                                       │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-2975                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-3446  │          │          │                              │                              │ openssl: Excessive time spent checking DH keys and           │
│                    │                │          │          │                              │                              │ parameters                                                   │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-3446                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-3817  │          │          │                              │                              │ OpenSSL: Excessive time spent checking DH q parameter value  │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-3817                    │
│                    ├────────────────┤          │          │                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-5678  │          │          │                              │ 3.0.2-0ubuntu1.14            │ openssl: Generating excessively long X9.42 DH keys or        │
│                    │                │          │          │                              │                              │ checking excessively long X9.42...                           │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-5678                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-6129  │          │          │                              │                              │ openssl: POLY1305 MAC implementation corrupts vector         │
│                    │                │          │          │                              │                              │ registers on PowerPC                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-6129                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-6237  │          │          │                              │                              │ openssl: Excessive time spent checking invalid RSA public    │
│                    │                │          │          │                              │                              │ keys                                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-6237                    │
│                    ├────────────────┤          │          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-0727  │          │          │                              │                              │ openssl: denial of service via null dereference              │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2024-0727                    │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd             │ CVE-2023-29383 │          │ affected │ 1:4.8.1-2ubuntu2.1           │                              │ Improper input validation in shadow-utils package utility    │
│                    │                │          │          │                              │                              │ chfn                                                         │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                    ├────────────────┤          ├──────────┤                              ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4641  │          │ fixed    │                              │ 1:4.8.1-2ubuntu2.2           │ shadow-utils: possible password leak during passwd(1) change │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
├────────────────────┼────────────────┼──────────┤          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base          │ CVE-2023-47038 │ MEDIUM   │          │ 5.34.0-3ubuntu1.2            │ 5.34.0-3ubuntu1.3            │ perl: Write past buffer end via illegal user-defined Unicode │
│                    │                │          │          │                              │                              │ property                                                     │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-47038                   │
│                    ├────────────────┼──────────┤          │                              │                              ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2022-48522 │ LOW      │          │                              │                              │ perl: stack-based crash in S_find_uninit_var()               │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2022-48522                   │
├────────────────────┼────────────────┤          │          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ procps             │ CVE-2023-4016  │          │          │ 2:3.3.17-6ubuntu2            │ 2:3.3.17-6ubuntu2.1          │ procps: ps buffer overflow                                   │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-4016                    │
├────────────────────┼────────────────┼──────────┤          ├──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ tar                │ CVE-2023-39804 │ MEDIUM   │          │ 1.34+dfsg-1ubuntu0.1.22.04.1 │ 1.34+dfsg-1ubuntu0.1.22.04.2 │ tar: Incorrectly handled extension attributes in PAX         │
│                    │                │          │          │                              │                              │ archives can lead to a...                                    │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2023-39804                   │
├────────────────────┼────────────────┤          ├──────────┼──────────────────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ wget               │ CVE-2021-31879 │          │ affected │ 1.21.2-2ubuntu1              │                              │ wget: authorization header disclosure on redirect            │
│                    │                │          │          │                              │                              │ https://avd.aquasec.com/nvd/cve-2021-31879                   │
└────────────────────┴────────────────┴──────────┴──────────┴──────────────────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘
@ggrossetie
Copy link
Member

Kroki image is built on top of Eclipse temurin image: https://hub.docker.com/_/eclipse-temurin/tags?page=1&name=17.0.10_7-jre

image

Latest version has fewer vulnerabilities but low/medium are, as the name suggests, difficult to exploit or have limited impact. You can bump the version in https://github.com/yuzutech/kroki/blob/a5f21c24c16d0beef5eddfbfdf3b5910df2ec711/server/ops/docker/jdk17-jammy/Dockerfile#L235C22-L235C40

@ggrossetie ggrossetie added the 🐋 docker Related to Docker code label Mar 7, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
🐋 docker Related to Docker code
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@ggrossetie @DavidACastagna