Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

lots of High and Critical vulnerabilities in logstash docker image: #15280

Open
wargamez opened this issue Aug 25, 2023 · 7 comments
Open

lots of High and Critical vulnerabilities in logstash docker image: #15280

wargamez opened this issue Aug 25, 2023 · 7 comments
Labels
bug status:needs-triage

Comments

@wargamez
Copy link

wargamez commented Aug 25, 2023
edited
Loading

Here is the result of running trivy scanner on your logstash docker image. Please fix these!

trivy image --exit-code 1 --no-progress --ignore-unfixed --severity "HIGH,CRITICAL" docker.elastic.co/logstash/logstash:8.9.1

Total: 16 (HIGH: 10, CRITICAL: 6)
┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ 18.0 │ 32.0.0 │ insecure temporary directory creation │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976
├────────────────────────────────────────────────────────────┤ │ ├───────────────────┤ │ │
│ com.google.guava:guava (guava-31.1-jre.jar) │ │ │ 31.1-jre │ │ │
│ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ log4j:log4j (log4j-1.2.17.jar) │ CVE-2019-17571 │ CRITICAL │ 1.2.17 │ 2.0-alpha1 │ log4j: deserialization of untrusted data in SocketServer │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17571
│ ├────────────────┼──────────┤ ├───────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-26464 │ HIGH │ │ 2.0 │ DoS via hashmap logging │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26464
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.logging.log4j:log4j-core (log4j-core-2.9.1.jar) │ CVE-2021-44228 │ CRITICAL │ 2.9.1 │ 2.3.2, 2.12.2, 2.15.0 │ Remote code execution in Log4j 2.x when logs contain an │
│ │ │ │ │ │ attacker-controlled string... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44228
│ ├────────────────┤ │ ├───────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-45046 │ │ │ 2.3.1, 2.12.3, 2.17.0 │ DoS in log4j 2.x with thread context message pattern and │
│ │ │ │ │ │ context lookup... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45046
├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291
├────────────────────────────────────────────────────────────┤ │ │ │ │ │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │
│ │ │ │ │ │ │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ CVE-2021-37714 │ HIGH │ 1.7.2 │ 1.14.2 │ jsoup: Crafted input may cause the jsoup HTML and XML parser │
│ │ │ │ │ │ to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714
├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34454 │ │ │ │ Integer overflow in compress leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34455 │ │ │ │ Unchecked chunk length leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455
├────────────────────────────────────────────────────────────┼────────────────┤ ├───────────────────┤ ├──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.8.4.jar) │ CVE-2023-34453 │ │ 1.1.8.4 │ │ Integer overflow in shuffle leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34454 │ │ │ │ Integer overflow in compress leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-34455 │ │ │ │ Unchecked chunk length leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (snakeyaml-1.33.jar) │ CVE-2022-1471 │ CRITICAL │ 1.33 │ 2.0 │ Constructor Deserialization Remote Code Execution │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────────────┴──────────────────────────────────────────────────────────────┘
@rajir8
Copy link

rajir8 commented Aug 28, 2023
edited
Loading

any updates on the fix for these vulnerabilities?

@donnyhyon donnyhyon mentioned this issue Aug 29, 2023
Merged
@joancafom
Copy link

The latest release of the docker image 8.10.2 does also report several CVEs related (mainly) to dependencies. Are there any plans to update this?

$ trivy image --vuln-type library docker.elastic.co/logstash/logstash:8.10.2
Java (jar)

Total: 27 (UNKNOWN: 0, LOW: 1, MEDIUM: 12, HIGH: 11, CRITICAL: 3)

┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                          Library                           │ Vulnerability  │ Severity │ Status │ Installed Version │       Fixed Version        │                            Title                             │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar)                    │ CVE-2023-2976  │ HIGH     │ fixed  │ 18.0              │ 32.0.0                     │ insecure temporary directory creation                        │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-2976                    │
│                                                            ├────────────────┼──────────┤        │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2018-10237 │ MEDIUM   │        │                   │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and  │
│                                                            │                │          │        │                   │                            │ CompoundOrdering classes allow remote attackers...           │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2018-10237                   │
│                                                            ├────────────────┼──────────┤        │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2020-8908  │ LOW      │        │                   │ 30.0                       │ local information disclosure via temporary directory created │
│                                                            │                │          │        │                   │                            │ with unsafe permissions                                      │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2020-8908                    │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-31.1-jre.jar)                │ CVE-2023-2976  │ HIGH     │        │ 31.1-jre          │ 32.0.0                     │ insecure temporary directory creation                        │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-2976                    │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (commons-io-2.2.jar)                 │ CVE-2021-29425 │ MEDIUM   │        │ 2.2               │ 2.7                        │ apache-commons-io: Limited path traversal in Apache Commons  │
│                                                            │                │          │        │                   │                            │ IO 2.2 to 2.6                                                │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2021-29425                   │
├────────────────────────────────────────────────────────────┤                │          │        │                   │                            │                                                              │
│ commons-io:commons-io (wagon-http-2.10-shaded.jar)         │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.avro:avro (avro-1.11.1.jar)                     │ CVE-2023-39410 │ HIGH     │        │ 1.11.1            │ 1.11.3                     │ Apache Avro Java SDK vulnerable to Improper Input Validation │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-39410                   │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.derby:derby (derby-10.14.1.0.jar)               │ CVE-2018-1313  │ MEDIUM   │        │ 10.14.1.0         │ 10.14.2.0                  │ derby: Externally-controlled input vulnerability allows      │
│                                                            │                │          │        │                   │                            │ remote attacker to boot a database under...                  │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2018-1313                    │
├────────────────────────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient                       │ CVE-2015-5262  │          │        │ 4.3.5             │ 4.3.6                      │ jakarta-commons-httpclient, httpcomponents-core: missing     │
│ (wagon-http-2.10-shaded.jar)                               │                │          │        │                   │                            │ HTTPS connection timeout                                     │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2015-5262                    │
│                                                            ├────────────────┤          │        │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2020-13956 │          │        │                   │ 4.5.13                     │ incorrect handling of malformed authority component in       │
│                                                            │                │          │        │                   │                            │ request URIs                                                 │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2020-13956                   │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar)     │ CVE-2021-26291 │ CRITICAL │        │ 3.3.9             │ 3.8.1                      │ Block repositories using http by default                     │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2021-26291                   │
├────────────────────────────────────────────────────────────┤                │          │        │                   │                            │                                                              │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar)         │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar)  │ CVE-2023-33201 │ MEDIUM   │        │ 1.71              │ 1.74                       │ potential blind LDAP injection attack using a self-signed    │
│                                                            │                │          │        │                   │                            │ certificate                                                  │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-33201                   │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.22.jar) │ CVE-2022-4244  │ HIGH     │        │ 3.0.22            │ 3.0.24                     │ Directory Traversal                                          │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-4244                    │
│                                                            ├────────────────┼──────────┤        │                   │                            ├──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2022-4245  │ MEDIUM   │        │                   │                            │ XML External Entity (XXE) Injection                          │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-4245                    │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar)                          │ CVE-2021-37714 │ HIGH     │        │ 1.7.2             │ 1.14.2                     │ Crafted input may cause the jsoup HTML and XML parser to     │
│                                                            │                │          │        │                   │                            │ get...                                                       │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2021-37714                   │
├────────────────────────────────────────────────────────────┤                │          │        │                   │                            │                                                              │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar)               │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar)                          │ CVE-2015-6748  │ MEDIUM   │        │                   │ 1.8.3                      │ jsoup: XSS vulnerability related to incomplete tags at EOF   │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2015-6748                    │
├────────────────────────────────────────────────────────────┤                │          │        │                   │                            │                                                              │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar)               │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┤          │        │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar)                          │ CVE-2022-36033 │          │        │                   │ 1.15.3                     │ The jsoup cleaner may incorrectly sanitize crafted XSS       │
│                                                            │                │          │        │                   │                            │ attempts if SafeList.preserveRelativeLinks is...             │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-36033                   │
├────────────────────────────────────────────────────────────┤                │          │        │                   │                            │                                                              │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar)               │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar)    │ CVE-2023-34453 │ HIGH     │        │ 1.1.0.1           │ 1.1.10.1                   │ Integer overflow in shuffle leads to DoS                     │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-34453                   │
│                                                            ├────────────────┤          │        │                   │                            ├──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2023-34454 │          │        │                   │                            │ Integer overflow in compress leads to DoS                    │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-34454                   │
│                                                            ├────────────────┤          │        │                   │                            ├──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2023-34455 │          │        │                   │                            │ Unchecked chunk length leads to DoS                          │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-34455                   │
│                                                            ├────────────────┤          │        │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2023-43642 │          │        │                   │ 1.1.10.4                   │ Missing upper bound check on chunk length in snappy-java can │
│                                                            │                │          │        │                   │                            │ lead to...                                                   │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-43642                   │
├────────────────────────────────────────────────────────────┤                │          │        ├───────────────────┤                            │                                                              │
│ org.xerial.snappy:snappy-java (snappy-java-1.1.10.1.jar)   │                │          │        │ 1.1.10.1          │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
│                                                            │                │          │        │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (logstash-filter-useragent-3.3.4.jar)   │ CVE-2022-1471  │ CRITICAL │        │ 1.33              │ 2.0                        │ Constructor Deserialization Remote Code Execution            │
│                                                            │                │          │        │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-1471                    │
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-04T16:09:26.558Z	INFO	Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

Ruby (gemspec)

Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 0)

┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│          Library          │ Vulnerability  │ Severity │ Status │ Installed Version │                Fixed Version                 │                        Title                        │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ time (time-0.1.0.gemspec) │ CVE-2023-28756 │ HIGH     │ fixed  │ 0.1.0             │ ~> 0.1.1, >= 0.2.2                           │ ReDoS vulnerability in Time                         │
│                           │                │          │        │                   │                                              │ https://avd.aquasec.com/nvd/cve-2023-28756          │
├───────────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ uri (uri-0.11.0.gemspec)  │ CVE-2023-28755 │          │        │ 0.11.0            │ ~> 0.10.0.1, ~> 0.10.2, ~> 0.11.1, >= 0.12.1 │ ReDoS vulnerability in URI                          │
│                           │                │          │        │                   │                                              │ https://avd.aquasec.com/nvd/cve-2023-28755          │
│                           ├────────────────┼──────────┤        │                   ├──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│                           │ CVE-2023-36617 │ MEDIUM   │        │                   │ ~> 0.10.0.3, ~> 0.10.3, ~> 0.11.2, >= 0.12.2 │ ReDoS vulnerability - upstream's incomplete fix for │
│                           │                │          │        │                   │                                              │ CVE-2023-28755                                      │
│                           │                │          │        │                   │                                              │ https://avd.aquasec.com/nvd/cve-2023-36617          │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────┴─────────────────────────────────────────────────────┘

@chadmyers
Copy link

From the 8.10.4 version:

docker.elastic.co/logstash/logstash:8.10.4 (ubuntu 20.04)
=========================================================
Total: 31 (UNKNOWN: 0, LOW: 22, MEDIUM: 9, HIGH: 0, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │  Status  │    Installed Version     │   Fixed Version    │                            Title                             │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils        │ CVE-2016-2781  │ LOW      │ affected │ 8.30-3ubuntu2            │                    │ coreutils: Non-privileged session can escape to the parent   │
│                  │                │          │          │                          │                    │ session in chroot                                            │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl             │ CVE-2023-38546 │          │ fixed    │ 7.68.0-1ubuntu2.19       │ 7.68.0-1ubuntu2.20 │ cookie injection with none file                              │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-38546                   │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv             │ CVE-2022-3219  │          │ affected │ 2.2.19-3ubuntu2.2        │                    │ denial of service issue (resource consumption) using         │
│                  │                │          │          │                          │                    │ compressed packets                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ krb5-locales     │ CVE-2023-36054 │ MEDIUM   │          │ 1.17-6ubuntu4.3          │                    │ Denial of service through freeing uninitialized pointer      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-36054                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin         │ CVE-2023-5156  │          │          │ 2.31-0ubuntu9.12         │                    │ DoS due to memory leak in getaddrinfo.c                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-5156                    │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2016-20013 │ LOW      │          │                          │                    │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │                    │ cause a denial of...                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6            │ CVE-2023-5156  │ MEDIUM   │          │                          │                    │ DoS due to memory leak in getaddrinfo.c                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-5156                    │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2016-20013 │ LOW      │          │                          │                    │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │                    │ cause a denial of...                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4         │ CVE-2023-38546 │          │ fixed    │ 7.68.0-1ubuntu2.19       │ 7.68.0-1ubuntu2.20 │ cookie injection with none file                              │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-38546                   │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2023-36054 │ MEDIUM   │ affected │ 1.17-6ubuntu4.3          │                    │ Denial of service through freeing uninitialized pointer      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-36054                   │
├──────────────────┤                │          │          │                          ├────────────────────┤                                                              │
│ libk5crypto3     │                │          │          │                          │                    │                                                              │
│                  │                │          │          │                          │                    │                                                              │
├──────────────────┤                │          │          │                          ├────────────────────┤                                                              │
│ libkrb5-3        │                │          │          │                          │                    │                                                              │
│                  │                │          │          │                          │                    │                                                              │
├──────────────────┤                │          │          │                          ├────────────────────┤                                                              │
│ libkrb5support0  │                │          │          │                          │                    │                                                              │
│                  │                │          │          │                          │                    │                                                              │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.4-2    │ CVE-2023-2953  │ LOW      │          │ 2.4.49+dfsg-2ubuntu1.9   │                    │ null pointer dereference in ber_memalloc_x function          │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-2953                    │
├──────────────────┤                │          │          │                          ├────────────────────┤                                                              │
│ libldap-common   │                │          │          │                          │                    │                                                              │
│                  │                │          │          │                          │                    │                                                              │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5         │ CVE-2020-22916 │ MEDIUM   │          │ 5.2.4-1ubuntu1.1         │                    │ Denial of service via decompression of crafted file          │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2020-22916                   │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3         │ CVE-2017-11164 │ LOW      │          │ 2:8.39-12ubuntu0.1       │                    │ OP_KETRMAX feature in the match function in pcre_exec.c      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2017-11164                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libprocps8       │ CVE-2023-4016  │          │          │ 2:3.3.16-1ubuntu2.3      │                    │ ps buffer overflow                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-4016                    │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1        │ CVE-2023-3446  │          │ fixed    │ 1.1.1f-1ubuntu2.19       │ 1.1.1f-1ubuntu2.20 │ Excessive time spent checking DH keys and parameters         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-3446                    │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3817  │          │          │                          │                    │ Excessive time spent checking DH q parameter value           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-3817                    │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0      │ CVE-2023-26604 │          │ affected │ 245.4-4ubuntu3.22        │                    │ privilege escalation via the less pager                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-26604                   │
├──────────────────┤                │          │          │                          ├────────────────────┤                                                              │
│ libudev1         │                │          │          │                          │                    │                                                              │
│                  │                │          │          │                          │                    │                                                              │
├──────────────────┼────────────────┼──────────┤          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ locales          │ CVE-2023-5156  │ MEDIUM   │          │ 2.31-0ubuntu9.12         │                    │ DoS due to memory leak in getaddrinfo.c                      │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-5156                    │
│                  ├────────────────┼──────────┤          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2016-20013 │ LOW      │          │                          │                    │ sha256crypt and sha512crypt through 0.6 allow attackers to   │
│                  │                │          │          │                          │                    │ cause a denial of...                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2016-20013                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ login            │ CVE-2013-4235  │          │          │ 1:4.8.1-1ubuntu5.20.04.4 │                    │ shadow-utils: TOCTOU race conditions by copying and removing │
│                  │                │          │          │                          │                    │ directory trees                                              │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2013-4235                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29383 │          │          │                          │                    │ Improper input validation in shadow-utils package utility    │
│                  │                │          │          │                          │                    │ chfn                                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl          │ CVE-2023-3446  │          │ fixed    │ 1.1.1f-1ubuntu2.19       │ 1.1.1f-1ubuntu2.20 │ Excessive time spent checking DH keys and parameters         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-3446                    │
│                  ├────────────────┤          │          │                          │                    ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3817  │          │          │                          │                    │ Excessive time spent checking DH q parameter value           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-3817                    │
├──────────────────┼────────────────┤          ├──────────┼──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd           │ CVE-2013-4235  │          │ affected │ 1:4.8.1-1ubuntu5.20.04.4 │                    │ shadow-utils: TOCTOU race conditions by copying and removing │
│                  │                │          │          │                          │                    │ directory trees                                              │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2013-4235                    │
│                  ├────────────────┤          │          │                          ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29383 │          │          │                          │                    │ Improper input validation in shadow-utils package utility    │
│                  │                │          │          │                          │                    │ chfn                                                         │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
├──────────────────┼────────────────┤          │          ├──────────────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ procps           │ CVE-2023-4016  │          │          │ 2:3.3.16-1ubuntu2.3      │                    │ ps buffer overflow                                           │
│                  │                │          │          │                          │                    │ https://avd.aquasec.com/nvd/cve-2023-4016                    │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-30T15:34:45.576-0500    INFO    Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

Java (jar)
==========
Total: 28 (UNKNOWN: 0, LOW: 1, MEDIUM: 16, HIGH: 9, CRITICAL: 2)

┌────────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                          Library                           │ Vulnerability  │ Severity │  Status  │ Installed Version │       Fixed Version        │                            Title                             │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.google.guava:guava (guava-18.0.jar)                    │ CVE-2023-2976  │ HIGH     │ fixed    │ 18.0              │ 32.0.0                     │ insecure temporary directory creation                        │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-2976                    │
│                                                            ├────────────────┼──────────┤          │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2018-10237 │ MEDIUM   │          │                   │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and  │
│                                                            │                │          │          │                   │                            │ CompoundOrdering classes allow remote attackers...           │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2018-10237                   │
│                                                            ├────────────────┼──────────┤          │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2020-8908  │ LOW      │          │                   │ 30.0                       │ local information disclosure via temporary directory created │
│                                                            │                │          │          │                   │                            │ with unsafe permissions                                      │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2020-8908                    │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.rabbitmq:amqp-client (rabbitmq-client.jar)             │ CVE-2023-46120 │ MEDIUM   │          │ 5.16.0            │ 5.18.0                     │ RabbitMQ Java client's Lack of Message Size Limitation leads │
│                                                            │                │          │          │                   │                            │ to Remote DoS...                                             │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-46120                   │
├────────────────────────────────────────────────────────────┼────────────────┤          │          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ commons-io:commons-io (commons-io-2.2.jar)                 │ CVE-2021-29425 │          │          │ 2.2               │ 2.7                        │ apache-commons-io: Limited path traversal in Apache Commons  │
│                                                            │                │          │          │                   │                            │ IO 2.2 to 2.6                                                │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2021-29425                   │
├────────────────────────────────────────────────────────────┤                │          │          │                   │                            │                                                              │
│ commons-io:commons-io (wagon-http-2.10-shaded.jar)         │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┤          ├──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-handler (netty-handler-4.1.94.Final.jar)    │ CVE-2023-4586  │          │ affected │ 4.1.94.Final      │                            │ Hot Rod client does not enable hostname validation when      │
│                                                            │                │          │          │                   │                            │ using TLS...                                                 │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-4586                    │
│                                                            │                │          │          │                   ├────────────────────────────┤                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   ├────────────────────────────┤                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.avro:avro (avro-1.11.1.jar)                     │ CVE-2023-39410 │ HIGH     │ fixed    │ 1.11.1            │ 1.11.3                     │ Memory when deserializing untrusted data in Avro Java SDK    │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-39410                   │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.derby:derby (derby-10.14.1.0.jar)               │ CVE-2018-1313  │ MEDIUM   │          │ 10.14.1.0         │ 10.14.2.0                  │ derby: Externally-controlled input vulnerability allows      │
│                                                            │                │          │          │                   │                            │ remote attacker to boot a database under...                  │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2018-1313                    │
├────────────────────────────────────────────────────────────┼────────────────┤          │          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.httpcomponents:httpclient                       │ CVE-2015-5262  │          │          │ 4.3.5             │ 4.3.6                      │ jakarta-commons-httpclient, httpcomponents-core: missing     │
│ (wagon-http-2.10-shaded.jar)                               │                │          │          │                   │                            │ HTTPS connection timeout                                     │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2015-5262                    │
│                                                            ├────────────────┤          │          │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2020-13956 │          │          │                   │ 4.5.13                     │ incorrect handling of malformed authority component in       │
│                                                            │                │          │          │                   │                            │ request URIs                                                 │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2020-13956                   │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.maven:maven-compat (maven-compat-3.3.9.jar)     │ CVE-2021-26291 │ CRITICAL │          │ 3.3.9             │ 3.8.1                      │ Block repositories using http by default                     │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2021-26291                   │
├────────────────────────────────────────────────────────────┤                │          │          │                   │                            │                                                              │
│ org.apache.maven:maven-core (maven-core-3.3.9.jar)         │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar)  │ CVE-2023-33201 │ MEDIUM   │          │ 1.71              │ 1.74                       │ potential blind LDAP injection attack using a self-signed    │
│                                                            │                │          │          │                   │                            │ certificate                                                  │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-33201                   │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.codehaus.plexus:plexus-utils (plexus-utils-3.0.22.jar) │ CVE-2022-4244  │ HIGH     │          │ 3.0.22            │ 3.0.24                     │ Directory Traversal                                          │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-4244                    │
│                                                            ├────────────────┼──────────┤          │                   │                            ├──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2022-4245  │ MEDIUM   │          │                   │                            │ XML External Entity (XXE) Injection                          │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-4245                    │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar)                          │ CVE-2021-37714 │ HIGH     │          │ 1.7.2             │ 1.14.2                     │ Crafted input may cause the jsoup HTML and XML parser to     │
│                                                            │                │          │          │                   │                            │ get...                                                       │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2021-37714                   │
├────────────────────────────────────────────────────────────┤                │          │          │                   │                            │                                                              │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar)               │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar)                          │ CVE-2015-6748  │ MEDIUM   │          │                   │ 1.8.3                      │ jsoup: XSS vulnerability related to incomplete tags at EOF   │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2015-6748                    │
├────────────────────────────────────────────────────────────┤                │          │          │                   │                            │                                                              │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar)               │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┤          │          │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.jsoup:jsoup (jsoup-1.7.2.jar)                          │ CVE-2022-36033 │          │          │                   │ 1.15.3                     │ The jsoup cleaner may incorrectly sanitize crafted XSS       │
│                                                            │                │          │          │                   │                            │ attempts if SafeList.preserveRelativeLinks is...             │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2022-36033                   │
├────────────────────────────────────────────────────────────┤                │          │          │                   │                            │                                                              │
│ org.jsoup:jsoup (wagon-http-2.10-shaded.jar)               │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
│                                                            │                │          │          │                   │                            │                                                              │
├────────────────────────────────────────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar)    │ CVE-2023-34453 │ HIGH     │          │ 1.1.0.1           │ 1.1.10.1                   │ Integer overflow in shuffle leads to DoS                     │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-34453                   │
│                                                            ├────────────────┤          │          │                   │                            ├──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2023-34454 │          │          │                   │                            │ Integer overflow in compress leads to DoS                    │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-34454                   │
│                                                            ├────────────────┤          │          │                   │                            ├──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2023-34455 │          │          │                   │                            │ Unchecked chunk length leads to DoS                          │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-34455                   │
│                                                            ├────────────────┤          │          │                   ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                            │ CVE-2023-43642 │          │          │                   │ 1.1.10.4                   │ Missing upper bound check on chunk length in snappy-java can │
│                                                            │                │          │          │                   │                            │ lead to...                                                   │
│                                                            │                │          │          │                   │                            │ https://avd.aquasec.com/nvd/cve-2023-43642                   │
└────────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-10-30T15:34:45.635-0500    INFO    Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

Ruby (gemspec)
==============
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 0)

┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────┬─────────────────────────────────────────────────────┐
│          Library          │ Vulnerability  │ Severity │ Status │ Installed Version │                Fixed Version                 │                        Title                        │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ time (time-0.1.0.gemspec) │ CVE-2023-28756 │ HIGH     │ fixed  │ 0.1.0             │ ~> 0.1.1, >= 0.2.2                           │ ReDoS vulnerability in Time                         │
│                           │                │          │        │                   │                                              │ https://avd.aquasec.com/nvd/cve-2023-28756          │
├───────────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│ uri (uri-0.11.0.gemspec)  │ CVE-2023-28755 │          │        │ 0.11.0            │ ~> 0.10.0.1, ~> 0.10.2, ~> 0.11.1, >= 0.12.1 │ ReDoS vulnerability in URI                          │
│                           │                │          │        │                   │                                              │ https://avd.aquasec.com/nvd/cve-2023-28755          │
│                           ├────────────────┼──────────┤        │                   ├──────────────────────────────────────────────┼─────────────────────────────────────────────────────┤
│                           │ CVE-2023-36617 │ MEDIUM   │        │                   │ ~> 0.10.0.3, ~> 0.10.3, ~> 0.11.2, >= 0.12.2 │ ReDoS vulnerability - upstream's incomplete fix for │
│                           │                │          │        │                   │                                              │ CVE-2023-28755                                      │
│                           │                │          │        │                   │                                              │ https://avd.aquasec.com/nvd/cve-2023-36617          │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────┴─────────────────────────────────────────────────────┘

@alkuzad
Copy link

alkuzad commented Nov 27, 2023

This all is because of not-done #3855 (issue - #3847) and the fact that included ruby-maven-libs-3.3.9 is 7 years old and unpatched. These issues were closed with the promise that upstream would patch this, but it seems it wasn't done.

It's a bit hard to catch because it does not list dependencies, only "extra_files" with jars.

Why does Logstash need Maven in Runtime? I thought this is a build tool to manage Java dependencies.

@mattbaron
Copy link

Next month, the company I work for is blocking all docker images identified as being affected by CVE-2021-26291. This includes the most recent official logstash image (8.12.1), which was released 13 days ago.

Are there any plans to address CVE-2021-26291 "soon"?

@williejay2017
Copy link

Any updates on this logstash team? My company is about to do something similar to the post above.

@Kartrag
Copy link

Kartrag commented Apr 8, 2024

I can see Logtsash 8.13 has newer version of ruby-maven-lib 3.8.9 which should fix many CVEs related to Maven, i guess. Still I am not sure on CVE-2023-2976.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug status:needs-triage
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
8 participants
@wargamez @chadmyers @alkuzad @mattbaron @joancafom @williejay2017 @Kartrag @rajir8