Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Critical security issue is reported by trivy for v0.12.1 #1067

Closed
zhulinfeng1212 opened this issue Mar 1, 2023 · 6 comments
Closed

Critical security issue is reported by trivy for v0.12.1 #1067

zhulinfeng1212 opened this issue Mar 1, 2023 · 6 comments
Labels
kind/bug Categorizes issue or PR as related to a bug.

Comments

@zhulinfeng1212
Copy link

What happened:

docker run aquasec/trivy image k8s.gcr.io/nfd/node-feature-discovery:v0.12.1

report one critical issue

cnf-docker.artifactory.eng.vmware.com/kubernetes_incubator/node-feature-discovery:v0.12.1 (debian 11.6)
=======================================================================================================
Total: 78 (UNKNOWN: 0, LOW: 56, MEDIUM: 6, HIGH: 15, CRITICAL: 1)

┌──────────────────┬──────────────────┬──────────┬───────────────────┬──────────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │  Vulnerability   │ Severity │ Installed Version │  Fixed Version   │                            Title                             │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ apt              │ CVE-2011-3374    │ LOW      │ 2.2.4             │                  │ It was found that apt-key in apt, all versions, do not       │
│                  │                  │          │                   │                  │ correctly...                                                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ bash             │ CVE-2022-3715    │ HIGH     │ 5.1-2+deb11u1     │                  │ bash: a heap-buffer-overflow in valid_parameter_transform    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-3715                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils         │ CVE-2022-0563    │ LOW      │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils        │ CVE-2016-2781    │          │ 8.32-4            │                  │ coreutils: Non-privileged session can escape to the parent   │
│                  │                  │          │                   │                  │ session in chroot                                            │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-18018   │          │                   │                  │ coreutils: race condition vulnerability in chown and chgrp   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2017-18018                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ e2fsprogs        │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │                  │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv             │ CVE-2022-3219    │ LOW      │ 2.2.27-2+deb11u2  │                  │ gnupg: denial of service issue (resource consumption) using  │
│                  │                  │          │                   │                  │ compressed packets                                           │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0    │ CVE-2011-3374    │          │ 2.2.4             │                  │ It was found that apt-key in apt, all versions, do not       │
│                  │                  │          │                   │                  │ correctly...                                                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1        │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin         │ CVE-2010-4756    │          │ 2.31-13+deb11u5   │                  │ glibc: glob implementation can cause excessive CPU and       │
│                  │                  │          │                   │                  │ memory consumption due to...                                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-20796   │          │                   │                  │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010022 │          │                   │                  │ glibc: stack guard protection bypass                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010023 │          │                   │                  │ glibc: running ldd on malicious ELF leads to code execution  │
│                  │                  │          │                   │                  │ because of...                                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010024 │          │                   │                  │ glibc: ASLR bypass using cache of thread stack and heap      │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010025 │          │                   │                  │ glibc: information disclosure of heap addresses of           │
│                  │                  │          │                   │                  │ pthread_created thread                                       │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-9192    │          │                   │                  │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├──────────────────┼──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6            │ CVE-2010-4756    │          │                   │                  │ glibc: glob implementation can cause excessive CPU and       │
│                  │                  │          │                   │                  │ memory consumption due to...                                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-20796   │          │                   │                  │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010022 │          │                   │                  │ glibc: stack guard protection bypass                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010023 │          │                   │                  │ glibc: running ldd on malicious ELF leads to code execution  │
│                  │                  │          │                   │                  │ because of...                                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010024 │          │                   │                  │ glibc: ASLR bypass using cache of thread stack and heap      │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010025 │          │                   │                  │ glibc: information disclosure of heap addresses of           │
│                  │                  │          │                   │                  │ pthread_created thread                                       │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-9192    │          │                   │                  │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │                   │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libcom-err2      │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │                  │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3         │ CVE-2019-8457    │ CRITICAL │ 5.3.28+dfsg1-0.8  │                  │ sqlite: heap out-of-bound read in function rtreenode()       │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-8457                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libext2fs2       │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │                  │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20      │ CVE-2021-33560   │          │ 1.8.7-6           │                  │ libgcrypt: mishandles ElGamal encryption because it lacks    │
│                  │                  │          │                   │                  │ exponent blinding to address a...                            │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-33560                   │
│                  ├──────────────────┼──────────┤                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-6829    │ LOW      │                   │                  │ libgcrypt: ElGamal implementation doesn't have semantic      │
│                  │                  │          │                   │                  │ security due to incorrectly encoded plaintexts...            │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2018-6829                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30      │ CVE-2023-0361    │ HIGH     │ 3.7.1-5+deb11u2   │ 3.7.1-5+deb11u3  │ gnutls: timing side-channel in the TLS RSA key exchange code │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0361                    │
│                  ├──────────────────┼──────────┤                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2011-3389    │ LOW      │                   │                  │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS    │
│                  │                  │          │                   │                  │ (BEAST)                                                      │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2011-3389                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2018-5709    │          │ 1.18.3-6+deb11u3  │                  │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │                   │                  │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┤                  │          │                   ├──────────────────┤                                                              │
│ libk5crypto3     │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
├──────────────────┤                  │          │                   ├──────────────────┤                                                              │
│ libkrb5-3        │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
├──────────────────┤                  │          │                   ├──────────────────┤                                                              │
│ libkrb5support0  │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1        │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3         │ CVE-2017-11164   │          │ 2:8.39-13         │                  │ pcre: OP_KETRMAX feature in the match function in            │
│                  │                  │          │                   │                  │ pcre_exec.c                                                  │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2017-11164                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-16231   │          │                   │                  │ pcre: self-recursive call in match() in pcre_exec.c leads to │
│                  │                  │          │                   │                  │ denial of service...                                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2017-16231                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-7245    │          │                   │                  │ pcre: stack-based buffer overflow write in                   │
│                  │                  │          │                   │                  │ pcre32_copy_substring                                        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2017-7245                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-7246    │          │                   │                  │ pcre: stack-based buffer overflow write in                   │
│                  │                  │          │                   │                  │ pcre32_copy_substring                                        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2017-7246                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-20838   │          │                   │                  │ pcre: Buffer over-read in JIT when UTF is disabled and \X    │
│                  │                  │          │                   │                  │ or...                                                        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-20838                   │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsepol1        │ CVE-2021-36084   │          │ 3.1-1             │                  │ libsepol: use-after-free in __cil_verify_classperms()        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-36084                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-36085   │          │                   │                  │ libsepol: use-after-free in __cil_verify_classperms()        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-36085                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-36086   │          │                   │                  │ libsepol: use-after-free in cil_reset_classpermission()      │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-36086                   │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2021-36087   │          │                   │                  │ libsepol: heap-based buffer overflow in ebitmap_match_any()  │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-36087                   │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1    │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libss2           │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │                  │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1        │ CVE-2022-4450    │          │ 1.1.1n-0+deb11u3  │ 1.1.1n-0+deb11u4 │ openssl: double free after calling PEM_read_bio_ex           │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4450                    │
│                  ├──────────────────┤          │                   │                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-0215    │          │                   │                  │ openssl: use-after-free following BIO_new_NDEF               │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0215                    │
│                  ├──────────────────┤          │                   │                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-0286    │          │                   │                  │ openssl: X.400 address type confusion in X.509 GeneralName   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2023-0286                    │
│                  ├──────────────────┼──────────┤                   │                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-2097    │ MEDIUM   │                   │                  │ openssl: AES OCB fails to encrypt some bytes                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-2097                    │
│                  ├──────────────────┤          │                   │                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-4304    │          │                   │                  │ openssl: timing attack in RSA Decryption implementation      │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4304                    │
│                  ├──────────────────┼──────────┤                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2007-6755    │ LOW      │                   │                  │ Dual_EC_DRBG: weak pseudo random number generator            │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2007-6755                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2010-0928    │          │                   │                  │ openssl: RSA authentication weakness                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2010-0928                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0      │ CVE-2022-3821    │ MEDIUM   │ 247.3-7+deb11u1   │                  │ systemd: buffer overrun in format_timespan() function        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-3821                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-4415    │          │                   │                  │ systemd: local information leak due to systemd-coredump not  │
│                  │                  │          │                   │                  │ respecting fs.suid_dumpable kernel setting...                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4415                    │
│                  ├──────────────────┼──────────┤                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-4392    │ LOW      │                   │                  │ systemd: TOCTOU race condition when updating file            │
│                  │                  │          │                   │                  │ permissions and SELinux security contexts...                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2020-13529   │          │                   │                  │ systemd: DHCP FORCERENEW authentication not implemented can  │
│                  │                  │          │                   │                  │ cause a system running the...                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2020-13529                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6        │ CVE-2022-29458   │ HIGH     │ 6.2+20201114-2    │                  │ ncurses: segfaulting OOB read                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29458                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1         │ CVE-2022-3821    │ MEDIUM   │ 247.3-7+deb11u1   │                  │ systemd: buffer overrun in format_timespan() function        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-3821                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-4415    │          │                   │                  │ systemd: local information leak due to systemd-coredump not  │
│                  │                  │          │                   │                  │ respecting fs.suid_dumpable kernel setting...                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-4415                    │
│                  ├──────────────────┼──────────┤                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-4392    │ LOW      │                   │                  │ systemd: TOCTOU race condition when updating file            │
│                  │                  │          │                   │                  │ permissions and SELinux security contexts...                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2020-13529   │          │                   │                  │ systemd: DHCP FORCERENEW authentication not implemented can  │
│                  │                  │          │                   │                  │ cause a system running the...                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2020-13529                   │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1         │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ login            │ CVE-2007-5686    │          │ 1:4.8.1-1         │                  │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                  │                  │          │                   │                  │ the /var/lo ......                                           │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-4235    │          │                   │                  │ shadow-utils: TOCTOU race conditions by copying and removing │
│                  │                  │          │                   │                  │ directory trees                                              │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2013-4235                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-19882   │          │                   │                  │ shadow-utils: local users can obtain root access because     │
│                  │                  │          │                   │                  │ setuid programs are misconfigured...                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-19882                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ logsave          │ CVE-2022-1304    │ HIGH     │ 1.46.2-2          │                  │ e2fsprogs: out-of-bounds read/write via crafted filesystem   │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1304                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ mount            │ CVE-2022-0563    │ LOW      │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base     │ CVE-2022-29458   │ HIGH     │ 6.2+20201114-2    │                  │ ncurses: segfaulting OOB read                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29458                   │
├──────────────────┤                  │          │                   ├──────────────────┤                                                              │
│ ncurses-bin      │                  │          │                   │                  │                                                              │
│                  │                  │          │                   │                  │                                                              │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd           │ CVE-2007-5686    │ LOW      │ 1:4.8.1-1         │                  │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                  │                  │          │                   │                  │ the /var/lo ......                                           │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-4235    │          │                   │                  │ shadow-utils: TOCTOU race conditions by copying and removing │
│                  │                  │          │                   │                  │ directory trees                                              │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2013-4235                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-19882   │          │                   │                  │ shadow-utils: local users can obtain root access because     │
│                  │                  │          │                   │                  │ setuid programs are misconfigured...                         │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2019-19882                   │
├──────────────────┼──────────────────┼──────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base        │ CVE-2020-16156   │ HIGH     │ 5.32.1-4+deb11u2  │                  │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │
│                  │                  │          │                   │                  │ files                                                        │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2020-16156                   │
│                  ├──────────────────┼──────────┤                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2011-4116    │ LOW      │                   │                  │ perl: File::Temp insecure temporary file handling            │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ tar              │ CVE-2005-2541    │          │ 1.34+dfsg-1       │                  │ tar: does not properly warn the user when extracting setuid  │
│                  │                  │          │                   │                  │ or setgid...                                                 │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
│                  ├──────────────────┤          │                   ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-48303   │          │                   │                  │ tar: heap buffer overflow at from_header() in list.c via     │
│                  │                  │          │                   │                  │ specially crafted checksum...                                │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-48303                   │
├──────────────────┼──────────────────┤          ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux       │ CVE-2022-0563    │          │ 2.36.1-8+deb11u1  │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                  │                  │          │                   │                  │ and chsh when compiled...                                    │
│                  │                  │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
└──────────────────┴──────────────────┴──────────┴───────────────────┴──────────────────┴──────────────────────────────────────────────────────────────┘

What you expected to happen:

No critical issue reported

How to reproduce it (as minimally and precisely as possible):

docker run aquasec/trivy image k8s.gcr.io/nfd/node-feature-discovery:v0.12.1

Anything else we need to know?:

Environment:

  • Kubernetes version (use kubectl version):
  • Cloud provider or hardware configuration:
  • OS (e.g: cat /etc/os-release):
  • Kernel (e.g. uname -a):
  • Install tools:
  • Network plugin and version (if this is a network-related bug):
  • Others:
@zhulinfeng1212 zhulinfeng1212 added the kind/bug Categorizes issue or PR as related to a bug. label Mar 1, 2023
@marquiz
Copy link
Contributor

marquiz commented Mar 1, 2023

Hi @zhulinfeng1212. NFD does not depend on these libraries as it's a statically linked executable. In v0.13 we'll switch to distroless/base so the scans should be happier

@zhulinfeng1212
Copy link
Author

Hi @zhulinfeng1212. NFD does not depend on these libraries as it's a statically linked executable. In v0.13 we'll switch to distroless/base so the scans should be happier

Hi Marquiz,
Thanks for replying, what's the release plan for v0.13 ?

@marquiz
Copy link
Contributor

marquiz commented Mar 1, 2023

I'd hope to get it released by the end of March:
https://github.com/kubernetes-sigs/node-feature-discovery/milestone/7

@cruizen
Copy link

cruizen commented Apr 20, 2023

Trivy scan of image v0.13.0 still shows Debian , though it has fewer vulnerabilities.

% trivy image registry.k8s.io/nfd/node-feature-discovery:v0.13.0
2023-04-20T20:13:43.469+0530	INFO	Vulnerability scanning is enabled
2023-04-20T20:13:43.469+0530	INFO	Secret scanning is enabled
2023-04-20T20:13:43.469+0530	INFO	If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2023-04-20T20:13:43.469+0530	INFO	Please see also https://aquasecurity.github.io/trivy/v0.39/docs/secret/scanning/#recommendation for faster secret detection
2023-04-20T20:13:45.875+0530	INFO	Detected OS: debian
2023-04-20T20:13:45.875+0530	INFO	Detecting Debian vulnerabilities...
2023-04-20T20:13:45.887+0530	INFO	Number of language-specific files: 5
2023-04-20T20:13:45.887+0530	INFO	Detecting gobinary vulnerabilities...

registry.k8s.io/nfd/node-feature-discovery:v0.13.0 (debian 11.6)

Total: 17 (UNKNOWN: 0, LOW: 11, MEDIUM: 4, HIGH: 2, CRITICAL: 0)

┌───────────┬──────────────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
│  Library  │  Vulnerability   │ Severity │ Installed Version │ Fixed Version │                            Title                            │
├───────────┼──────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ libc6     │ CVE-2010-4756    │ LOW      │ 2.31-13+deb11u5   │               │ glibc: glob implementation can cause excessive CPU and      │
│           │                  │          │                   │               │ memory consumption due to...                                │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-4756                   │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2018-20796   │          │                   │               │ glibc: uncontrolled recursion in function                   │
│           │                  │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c              │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2018-20796                  │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010022 │          │                   │               │ glibc: stack guard protection bypass                        │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010023 │          │                   │               │ glibc: running ldd on malicious ELF leads to code execution │
│           │                  │          │                   │               │ because of...                                               │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010024 │          │                   │               │ glibc: ASLR bypass using cache of thread stack and heap     │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-1010025 │          │                   │               │ glibc: information disclosure of heap addresses of          │
│           │                  │          │                   │               │ pthread_created thread                                      │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2019-9192    │          │                   │               │ glibc: uncontrolled recursion in function                   │
│           │                  │          │                   │               │ check_dst_limits_calc_pos_1 in posix/regexec.c              │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2019-9192                   │
├───────────┼──────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-0464    │ HIGH     │ 1.1.1n-0+deb11u4  │               │ Denial of service by excessive resource usage in verifying  │
│           │                  │          │                   │               │ X509 policy constraints...                                  │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0464                   │
│           ├──────────────────┼──────────┤                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2023-0465    │ MEDIUM   │                   │               │ Invalid certificate policies in leaf certificates are       │
│           │                  │          │                   │               │ silently ignored                                            │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0465                   │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2023-0466    │          │                   │               │ Certificate policy check not enabled                        │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0466                   │
│           ├──────────────────┼──────────┤                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2007-6755    │ LOW      │                   │               │ Dual_EC_DRBG: weak pseudo random number generator           │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-6755                   │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2010-0928    │          │                   │               │ openssl: RSA authentication weakness                        │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-0928                   │
├───────────┼──────────────────┼──────────┤                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│ openssl   │ CVE-2023-0464    │ HIGH     │                   │               │ Denial of service by excessive resource usage in verifying  │
│           │                  │          │                   │               │ X509 policy constraints...                                  │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0464                   │
│           ├──────────────────┼──────────┤                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2023-0465    │ MEDIUM   │                   │               │ Invalid certificate policies in leaf certificates are       │
│           │                  │          │                   │               │ silently ignored                                            │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0465                   │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2023-0466    │          │                   │               │ Certificate policy check not enabled                        │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0466                   │
│           ├──────────────────┼──────────┤                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2007-6755    │ LOW      │                   │               │ Dual_EC_DRBG: weak pseudo random number generator           │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2007-6755                   │
│           ├──────────────────┤          │                   ├───────────────┼─────────────────────────────────────────────────────────────┤
│           │ CVE-2010-0928    │          │                   │               │ openssl: RSA authentication weakness                        │
│           │                  │          │                   │               │ https://avd.aquasec.com/nvd/cve-2010-0928                   │
└───────────┴──────────────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘

usr/bin/nfd-master (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)

┌───────────────────┬───────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────┐
│      Library      │ Vulnerability │ Severity │ Installed Version │ Fixed Version │                       Title                        │
├───────────────────┼───────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ k8s.io/kubernetes │ CVE-2020-8554 │ MEDIUM   │ v1.26.3           │               │ kubernetes: MITM using LoadBalancer or ExternalIPs │
│                   │               │          │                   │               │ https://avd.aquasec.com/nvd/cve-2020-8554          │
└───────────────────┴───────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────┘

usr/bin/nfd-topology-updater (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)

┌───────────────────┬───────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────┐
│      Library      │ Vulnerability │ Severity │ Installed Version │ Fixed Version │                       Title                        │
├───────────────────┼───────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ k8s.io/kubernetes │ CVE-2020-8554 │ MEDIUM   │ v1.26.3           │               │ kubernetes: MITM using LoadBalancer or ExternalIPs │
│                   │               │          │                   │               │ https://avd.aquasec.com/nvd/cve-2020-8554          │
└───────────────────┴───────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────┘

usr/bin/nfd-worker (gobinary)

Total: 2 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 1, CRITICAL: 0)

┌────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────┐
│            Library             │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                       Title                        │
├────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc │ CVE-2023-27561 │ HIGH     │ v1.1.4            │ v1.1.5        │ runc: volume mount race condition (regression of   │
│                                │                │          │                   │               │ CVE-2019-19921)                                    │
│                                │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-27561         │
├────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ k8s.io/kubernetes              │ CVE-2020-8554  │ MEDIUM   │ v1.26.3           │               │ kubernetes: MITM using LoadBalancer or ExternalIPs │
│                                │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2020-8554          │
└────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────┘
%

@cruizen cruizen mentioned this issue Apr 20, 2023
Merged
@ArangoGutierrez
Copy link
Contributor

https://github.com/kubernetes-sigs/node-feature-discovery/releases/tag/v0.13.0 is out , we can close this issue

@zhulinfeng1212
Copy link
Author

thanks for working on it, will close this issue.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
kind/bug Categorizes issue or PR as related to a bug.
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
4 participants
@cruizen @marquiz @ArangoGutierrez @zhulinfeng1212