From fbd16365eb88e12433951383f5e99bd901fc618f Mon Sep 17 00:00:00 2001 From: simar7 <1254783+simar7@users.noreply.github.com> Date: Fri, 1 Sep 2023 11:44:50 -0600 Subject: [PATCH] feat(trivy): Bump to v0.45.0 (#256) --- .github/workflows/build.yaml | 2 +- Dockerfile | 2 +- test/data/config-sarif.test | 2 +- test/data/image-trivyignores.test | 150 +++++++++++++-------------- test/data/image.test | 162 +++++++++++++----------------- test/data/yamlconfig.test | 11 +- 6 files changed, 151 insertions(+), 178 deletions(-) diff --git a/.github/workflows/build.yaml b/.github/workflows/build.yaml index 3f562d9..f4d2a52 100644 --- a/.github/workflows/build.yaml +++ b/.github/workflows/build.yaml @@ -1,7 +1,7 @@ name: "build" on: [push, pull_request] env: - TRIVY_VERSION: 0.43.1 + TRIVY_VERSION: 0.45.0 BATS_LIB_PATH: '/usr/lib/' jobs: build: diff --git a/Dockerfile b/Dockerfile index 6fa4bdf..1032d3e 100644 --- a/Dockerfile +++ b/Dockerfile @@ -1,4 +1,4 @@ -FROM ghcr.io/aquasecurity/trivy:0.43.1 +FROM ghcr.io/aquasecurity/trivy:0.45.0 COPY entrypoint.sh / RUN apk --no-cache add bash curl npm RUN chmod +x /entrypoint.sh diff --git a/test/data/config-sarif.test b/test/data/config-sarif.test index 00b2ff7..79500ae 100644 --- a/test/data/config-sarif.test +++ b/test/data/config-sarif.test @@ -64,7 +64,7 @@ } } ], - "version": "0.43.1" + "version": "0.45.0" } }, "results": [ diff --git a/test/data/image-trivyignores.test b/test/data/image-trivyignores.test index e13d517..f2a567c 100644 --- a/test/data/image-trivyignores.test +++ b/test/data/image-trivyignores.test @@ -3,84 +3,72 @@ knqyf263/vuln-image:1.2.3 (alpine 3.7.1) ======================================== Total: 19 (CRITICAL: 19) -┌─────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ -│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ -├─────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ curl │ CVE-2018-14618 │ CRITICAL │ 7.61.0-r0 │ 7.61.1-r0 │ curl: NTLM password overflow via integer overflow │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14618 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16839 │ │ │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ -│ │ │ │ │ │ in Curl_sasl_create_plain_message() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16840 │ │ │ │ curl: Use-after-free when closing "easy" handle in │ -│ │ │ │ │ │ Curl_close() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16842 │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ -│ │ │ │ │ │ formatting │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-3822 │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5481 │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5482 │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ git │ CVE-2018-17456 │ │ 2.15.2-r0 │ 2.15.3-r0 │ git: arbitrary code execution via .gitmodules │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-17456 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-1353 │ │ │ 2.15.4-r0 │ git: NTFS protections inactive when running Git in the │ -│ │ │ │ │ │ Windows Subsystem for... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1353 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ libbz2 │ CVE-2019-12900 │ │ 1.0.6-r6 │ 1.0.6-r7 │ bzip2: out-of-bounds write in function BZ2_decompress │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12900 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ libcurl │ CVE-2018-16839 │ │ 7.61.1-r0 │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ -│ │ │ │ │ │ in Curl_sasl_create_plain_message() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16840 │ │ │ │ curl: Use-after-free when closing "easy" handle in │ -│ │ │ │ │ │ Curl_close() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16842 │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ -│ │ │ │ │ │ formatting │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-3822 │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5481 │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5482 │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ musl │ CVE-2019-14697 │ │ 1.1.18-r3 │ 1.1.18-r4 │ musl libc through 1.1.23 has an x87 floating-point stack │ -│ │ │ │ │ │ adjustment im ...... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14697 │ -├─────────────┤ │ │ │ │ │ -│ musl-utils │ │ │ │ │ │ -│ │ │ │ │ │ │ -│ │ │ │ │ │ │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ sqlite-libs │ CVE-2019-8457 │ │ 3.21.0-r1 │ 3.25.3-r1 │ sqlite: heap out-of-bound read in function rtreenode() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │ -└─────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ - -rust-app/Cargo.lock (cargo) -=========================== -Total: 1 (CRITICAL: 1) - -┌──────────┬────────────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐ -│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ -├──────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ -│ smallvec │ CVE-2021-25900 │ CRITICAL │ 0.6.9 │ 1.6.1, 0.6.14 │ An issue was discovered in the smallvec crate before 0.6.14 │ -│ │ │ │ │ │ and 1.x... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-25900 │ -└──────────┴────────────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘ +┌─────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ +│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ +├─────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ curl │ CVE-2018-14618 │ CRITICAL │ fixed │ 7.61.0-r0 │ 7.61.1-r0 │ curl: NTLM password overflow via integer overflow │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14618 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16839 │ │ │ │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ +│ │ │ │ │ │ │ in Curl_sasl_create_plain_message() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16840 │ │ │ │ │ curl: Use-after-free when closing "easy" handle in │ +│ │ │ │ │ │ │ Curl_close() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16842 │ │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ +│ │ │ │ │ │ │ formatting │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-3822 │ │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5481 │ │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5482 │ │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ git │ CVE-2018-17456 │ │ │ 2.15.2-r0 │ 2.15.3-r0 │ git: arbitrary code execution via .gitmodules │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-17456 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1353 │ │ │ │ 2.15.4-r0 │ git: NTFS protections inactive when running Git in the │ +│ │ │ │ │ │ │ Windows Subsystem for... │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1353 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ libbz2 │ CVE-2019-12900 │ │ │ 1.0.6-r6 │ 1.0.6-r7 │ bzip2: out-of-bounds write in function BZ2_decompress │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12900 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ libcurl │ CVE-2018-16839 │ │ │ 7.61.1-r0 │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ +│ │ │ │ │ │ │ in Curl_sasl_create_plain_message() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16840 │ │ │ │ │ curl: Use-after-free when closing "easy" handle in │ +│ │ │ │ │ │ │ Curl_close() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16842 │ │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ +│ │ │ │ │ │ │ formatting │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-3822 │ │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5481 │ │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5482 │ │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ musl │ CVE-2019-14697 │ │ │ 1.1.18-r3 │ 1.1.18-r4 │ musl libc through 1.1.23 has an x87 floating-point stack │ +│ │ │ │ │ │ │ adjustment im ...... │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14697 │ +├─────────────┤ │ │ │ │ │ │ +│ musl-utils │ │ │ │ │ │ │ +│ │ │ │ │ │ │ │ +│ │ │ │ │ │ │ │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ sqlite-libs │ CVE-2019-8457 │ │ │ 3.21.0-r1 │ 3.25.3-r1 │ sqlite: heap out-of-bound read in function rtreenode() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │ +└─────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ diff --git a/test/data/image.test b/test/data/image.test index b540f9e..f2a567c 100644 --- a/test/data/image.test +++ b/test/data/image.test @@ -3,96 +3,72 @@ knqyf263/vuln-image:1.2.3 (alpine 3.7.1) ======================================== Total: 19 (CRITICAL: 19) -┌─────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ -│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ -├─────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ curl │ CVE-2018-14618 │ CRITICAL │ 7.61.0-r0 │ 7.61.1-r0 │ curl: NTLM password overflow via integer overflow │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14618 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16839 │ │ │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ -│ │ │ │ │ │ in Curl_sasl_create_plain_message() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16840 │ │ │ │ curl: Use-after-free when closing "easy" handle in │ -│ │ │ │ │ │ Curl_close() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16842 │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ -│ │ │ │ │ │ formatting │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-3822 │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5481 │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5482 │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ git │ CVE-2018-17456 │ │ 2.15.2-r0 │ 2.15.3-r0 │ git: arbitrary code execution via .gitmodules │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-17456 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-1353 │ │ │ 2.15.4-r0 │ git: NTFS protections inactive when running Git in the │ -│ │ │ │ │ │ Windows Subsystem for... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1353 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ libbz2 │ CVE-2019-12900 │ │ 1.0.6-r6 │ 1.0.6-r7 │ bzip2: out-of-bounds write in function BZ2_decompress │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12900 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ libcurl │ CVE-2018-16839 │ │ 7.61.1-r0 │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ -│ │ │ │ │ │ in Curl_sasl_create_plain_message() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16840 │ │ │ │ curl: Use-after-free when closing "easy" handle in │ -│ │ │ │ │ │ Curl_close() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2018-16842 │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ -│ │ │ │ │ │ formatting │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-3822 │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ -│ ├────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5481 │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ -│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-5482 │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ musl │ CVE-2019-14697 │ │ 1.1.18-r3 │ 1.1.18-r4 │ musl libc through 1.1.23 has an x87 floating-point stack │ -│ │ │ │ │ │ adjustment im ...... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14697 │ -├─────────────┤ │ │ │ │ │ -│ musl-utils │ │ │ │ │ │ -│ │ │ │ │ │ │ -│ │ │ │ │ │ │ -├─────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ -│ sqlite-libs │ CVE-2019-8457 │ │ 3.21.0-r1 │ 3.25.3-r1 │ sqlite: heap out-of-bound read in function rtreenode() │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │ -└─────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ - -rust-app/Cargo.lock (cargo) -=========================== -Total: 4 (CRITICAL: 4) - -┌───────────┬────────────────┬──────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐ -│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ -├───────────┼────────────────┼──────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ -│ rand_core │ CVE-2020-25576 │ CRITICAL │ 0.4.0 │ 0.3.1, 0.4.2 │ An issue was discovered in the rand_core crate before 0.4.2 │ -│ │ │ │ │ │ for Rust.... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-25576 │ -├───────────┼────────────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ -│ smallvec │ CVE-2019-15551 │ │ 0.6.9 │ 0.6.10 │ An issue was discovered in the smallvec crate before 0.6.10 │ -│ │ │ │ │ │ for Rust.... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15551 │ -│ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ -│ │ CVE-2019-15554 │ │ │ │ An issue was discovered in the smallvec crate before 0.6.10 │ -│ │ │ │ │ │ for Rust.... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15554 │ -│ ├────────────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ -│ │ CVE-2021-25900 │ │ │ 1.6.1, 0.6.14 │ An issue was discovered in the smallvec crate before 0.6.14 │ -│ │ │ │ │ │ and 1.x... │ -│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-25900 │ -└───────────┴────────────────┴──────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘ +┌─────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ +│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ +├─────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ curl │ CVE-2018-14618 │ CRITICAL │ fixed │ 7.61.0-r0 │ 7.61.1-r0 │ curl: NTLM password overflow via integer overflow │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14618 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16839 │ │ │ │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ +│ │ │ │ │ │ │ in Curl_sasl_create_plain_message() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16840 │ │ │ │ │ curl: Use-after-free when closing "easy" handle in │ +│ │ │ │ │ │ │ Curl_close() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16842 │ │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ +│ │ │ │ │ │ │ formatting │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-3822 │ │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5481 │ │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5482 │ │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ git │ CVE-2018-17456 │ │ │ 2.15.2-r0 │ 2.15.3-r0 │ git: arbitrary code execution via .gitmodules │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-17456 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1353 │ │ │ │ 2.15.4-r0 │ git: NTFS protections inactive when running Git in the │ +│ │ │ │ │ │ │ Windows Subsystem for... │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1353 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ libbz2 │ CVE-2019-12900 │ │ │ 1.0.6-r6 │ 1.0.6-r7 │ bzip2: out-of-bounds write in function BZ2_decompress │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12900 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ libcurl │ CVE-2018-16839 │ │ │ 7.61.1-r0 │ 7.61.1-r1 │ curl: Integer overflow leading to heap-based buffer overflow │ +│ │ │ │ │ │ │ in Curl_sasl_create_plain_message() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16839 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16840 │ │ │ │ │ curl: Use-after-free when closing "easy" handle in │ +│ │ │ │ │ │ │ Curl_close() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16840 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-16842 │ │ │ │ │ curl: Heap-based buffer over-read in the curl tool warning │ +│ │ │ │ │ │ │ formatting │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-16842 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-3822 │ │ │ │ 7.61.1-r2 │ curl: NTLMv2 type-3 header stack buffer overflow │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3822 │ +│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5481 │ │ │ │ 7.61.1-r3 │ curl: double free due to subsequent call of realloc() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5481 │ +│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-5482 │ │ │ │ │ curl: heap buffer overflow in function tftp_receive_packet() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5482 │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ musl │ CVE-2019-14697 │ │ │ 1.1.18-r3 │ 1.1.18-r4 │ musl libc through 1.1.23 has an x87 floating-point stack │ +│ │ │ │ │ │ │ adjustment im ...... │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14697 │ +├─────────────┤ │ │ │ │ │ │ +│ musl-utils │ │ │ │ │ │ │ +│ │ │ │ │ │ │ │ +│ │ │ │ │ │ │ │ +├─────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ sqlite-libs │ CVE-2019-8457 │ │ │ 3.21.0-r1 │ 3.25.3-r1 │ sqlite: heap out-of-bound read in function rtreenode() │ +│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │ +└─────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ diff --git a/test/data/yamlconfig.test b/test/data/yamlconfig.test index ede2795..b34ab8a 100644 --- a/test/data/yamlconfig.test +++ b/test/data/yamlconfig.test @@ -64,6 +64,7 @@ "PkgName": "apk-tools", "InstalledVersion": "2.10.6-r0", "FixedVersion": "2.10.7-r0", + "Status": "fixed", "Layer": { "Digest": "sha256:396c31837116ac290458afcb928f68b6cc1c7bdd6963fc72f52f365a2a89c1b5", "DiffID": "sha256:9fb3aa2f8b8023a4bebbf92aa567caf88e38e969ada9f0ac12643b2847391635" @@ -75,6 +76,7 @@ "Name": "Alpine Secdb", "URL": "https://secdb.alpinelinux.org/" }, + "Title": "an out of boundary read while libfetch uses strtol to parse the relevant numbers into address bytes leads to information leak or crash", "Description": "libfetch before 2021-07-26, as used in apk-tools, xbps, and other products, mishandles numeric strings for the FTP and HTTP protocols. The FTP passive mode implementation allows an out-of-bounds read because strtol is used to parse the relevant numbers into address bytes. It does not check if the line ends prematurely. If it does, the for-loop condition checks for the '\\0' terminator one byte too late.", "Severity": "CRITICAL", "CweIDs": [ @@ -86,15 +88,22 @@ "V3Vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", "V2Score": 6.4, "V3Score": 9.1 + }, + "redhat": { + "V3Vector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H", + "V3Score": 9.1 } }, "References": [ + "https://access.redhat.com/security/cve/CVE-2021-36159", "https://github.com/freebsd/freebsd-src/commits/main/lib/libfetch", "https://gitlab.alpinelinux.org/alpine/apk-tools/-/issues/10749", "https://lists.apache.org/thread.html/r61db8e7dcb56dc000a5387a88f7a473bacec5ee01b9ff3f55308aacc@%3Cdev.kafka.apache.org%3E", "https://lists.apache.org/thread.html/r61db8e7dcb56dc000a5387a88f7a473bacec5ee01b9ff3f55308aacc@%3Cusers.kafka.apache.org%3E", "https://lists.apache.org/thread.html/rbf4ce74b0d1fa9810dec50ba3ace0caeea677af7c27a97111c06ccb7@%3Cdev.kafka.apache.org%3E", - "https://lists.apache.org/thread.html/rbf4ce74b0d1fa9810dec50ba3ace0caeea677af7c27a97111c06ccb7@%3Cusers.kafka.apache.org%3E" + "https://lists.apache.org/thread.html/rbf4ce74b0d1fa9810dec50ba3ace0caeea677af7c27a97111c06ccb7@%3Cusers.kafka.apache.org%3E", + "https://nvd.nist.gov/vuln/detail/CVE-2021-36159", + "https://www.cve.org/CVERecord?id=CVE-2021-36159" ], "PublishedDate": "2021-08-03T14:15:00Z", "LastModifiedDate": "2021-10-18T12:19:00Z"