Skip to content
This repository has been archived by the owner on Nov 1, 2022. It is now read-only.

Update dependencies #654

Merged
merged 6 commits into from
Jul 27, 2022
Merged

Update dependencies #654

merged 6 commits into from
Jul 27, 2022

Conversation

pjbgf
Copy link
Member

@pjbgf pjbgf commented Jul 26, 2022
edited

Updates dependencies and binaries to mitigate a total of 86 CVEs.

fluxcd/helm-operator:1.4.2 (alpine 3.13.7)

Total: 50 (UNKNOWN: 0, LOW: 0, MEDIUM: 11, HIGH: 25, CRITICAL: 14)

┌───────────────────────┬────────────────┬──────────┬───────────────────┬──────────────────┬─────────────────────────────────────────────────────────────┐
│        Library        │ Vulnerability  │ Severity │ Installed Version │  Fixed Version   │                            Title                            │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ busybox               │ CVE-2022-28391 │ CRITICAL │ 1.32.1-r7         │ 1.32.1-r8        │ busybox: remote attackers may execute arbitrary code if     │
│                       │                │          │                   │                  │ netstat is used                                             │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-28391                  │
│                       ├────────────────┼──────────┤                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-30065 │ HIGH     │                   │ 1.32.1-r9        │ busybox: A use-after-free in Busybox's awk applet leads to  │
│                       │                │          │                   │                  │ denial of service...                                        │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-30065                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ curl                  │ CVE-2022-32207 │ CRITICAL │ 7.79.1-r0         │ 7.79.1-r2        │ curl: Unpreserved file permissions                          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32207                  │
│                       ├────────────────┼──────────┤                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22576 │ HIGH     │                   │ 7.79.1-r1        │ curl: OAUTH2 bearer bypass in connection re-use             │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22576                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27775 │          │                   │                  │ curl: bad local IPv6 connection reuse                       │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27775                  │
│                       ├────────────────┤          │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27781 │          │                   │ 7.79.1-r2        │ curl: CERTINFO never-ending busy-loop                       │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27781                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27782 │          │                   │                  │ curl: TLS and SSH connection too eager reuse                │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27782                  │
│                       ├────────────────┼──────────┤                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27774 │ MEDIUM   │                   │ 7.79.1-r1        │ curl: credential leak on redirect                           │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27774                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27776 │          │                   │                  │ curl: auth/cookie leak on redirect                          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27776                  │
│                       ├────────────────┤          │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-32205 │          │                   │ 7.79.1-r2        │ curl: Set-Cookie denial of service                          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32205                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-32206 │          │                   │                  │ curl: HTTP compression denial of service                    │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32206                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-32208 │          │                   │                  │ curl: FTP-KRB bad message verification                      │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32208                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ expat                 │ CVE-2022-22822 │ CRITICAL │ 2.2.10-r1         │ 2.2.10-r2        │ expat: Integer overflow in addBinding in xmlparse.c         │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22822                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22823 │          │                   │                  │ expat: Integer overflow in build_model in xmlparse.c        │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22823                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22824 │          │                   │                  │ expat: Integer overflow in defineAttribute in xmlparse.c    │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22824                  │
│                       ├────────────────┤          │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-23852 │          │                   │ 2.2.10-r3        │ expat: Integer overflow in function XML_GetBuffer           │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-23852                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-23990 │          │                   │                  │ expat: integer overflow in the doProlog function            │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-23990                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ expat                 │ CVE-2022-25235 │ CRITICAL │ 2.2.10-r1         │ 2.2.10-r4        │ expat: Malformed 2- and 3-byte UTF-8 sequences can lead to  │
│                       │                │          │                   │                  │ arbitrary code...                                           │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-25235                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-25236 │          │                   │                  │ expat: Namespace-separator characters in "xmlns[:prefix]"   │
│                       │                │          │                   │                  │ attribute values can lead to arbitrary code...              │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-25236                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ expat                 │ CVE-2022-25315 │ CRITICAL │ 2.2.10-r1         │ 2.2.10-r4        │ expat: Integer overflow in storeRawNames()                  │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-25315                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ expat                 │ CVE-2021-45960 │ HIGH     │ 2.2.10-r1         │ 2.2.10-r2        │ expat: Large number of prefixed XML attributes on a single  │
│                       │                │          │                   │                  │ tag can...                                                  │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-45960                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ expat                 │ CVE-2021-46143 │ HIGH     │ 2.2.10-r1         │ 2.2.10-r2        │ expat: Integer overflow in doProlog in xmlparse.c           │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2021-46143                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22825 │          │                   │                  │ expat: Integer overflow in lookup in xmlparse.c             │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22825                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22826 │          │                   │                  │ expat: Integer overflow in nextScaffoldPart in xmlparse.c   │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22826                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22827 │          │                   │                  │ expat: Integer overflow in storeAtts in xmlparse.c          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22827                  │
│                       ├────────────────┤          │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-25314 │          │                   │ 2.2.10-r4        │ expat: integer overflow in copyString()                     │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-25314                  │
│                       ├────────────────┼──────────┤                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-25313 │ MEDIUM   │                   │                  │ expat: stack exhaustion in doctype parsing                  │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-25313                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ git                   │ CVE-2022-24765 │ HIGH     │ 2.30.2-r0         │ 2.30.3-r0        │ git: On multi-user machines Git users might find themselves │
│                       │                │          │                   │                  │ unexpectedly in a...                                        │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-24765                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ git                   │ CVE-2022-29187 │ HIGH     │ 2.30.2-r0         │ 2.30.5-r0        │ git: Bypass of safe.directory protections                   │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29187                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libcrypto1.1          │ CVE-2022-0778  │ HIGH     │ 1.1.1l-r0         │ 1.1.1n-r0        │ openssl: Infinite loop in BN_mod_sqrt() reachable when      │
│                       │                │          │                   │                  │ parsing certificates                                        │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0778                   │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libcrypto1.1          │ CVE-2022-2097  │ HIGH     │ 1.1.1l-r0         │ 1.1.1q-r0        │ openssl: AES OCB fails to encrypt some bytes                │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-2097                   │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libcurl               │ CVE-2022-32207 │ CRITICAL │ 7.79.1-r0         │ 7.79.1-r2        │ curl: Unpreserved file permissions                          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32207                  │
│                       ├────────────────┼──────────┤                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-22576 │ HIGH     │                   │ 7.79.1-r1        │ curl: OAUTH2 bearer bypass in connection re-use             │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-22576                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27775 │          │                   │                  │ curl: bad local IPv6 connection reuse                       │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27775                  │
│                       ├────────────────┤          │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27781 │          │                   │ 7.79.1-r2        │ curl: CERTINFO never-ending busy-loop                       │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27781                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27782 │          │                   │                  │ curl: TLS and SSH connection too eager reuse                │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27782                  │
│                       ├────────────────┼──────────┤                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27774 │ MEDIUM   │                   │ 7.79.1-r1        │ curl: credential leak on redirect                           │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27774                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-27776 │          │                   │                  │ curl: auth/cookie leak on redirect                          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-27776                  │
│                       ├────────────────┤          │                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-32205 │          │                   │ 7.79.1-r2        │ curl: Set-Cookie denial of service                          │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32205                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-32206 │          │                   │                  │ curl: HTTP compression denial of service                    │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32206                  │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-32208 │          │                   │                  │ curl: FTP-KRB bad message verification                      │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-32208                  │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libssl1.1             │ CVE-2022-0778  │ HIGH     │ 1.1.1l-r0         │ 1.1.1n-r0        │ openssl: Infinite loop in BN_mod_sqrt() reachable when      │
│                       │                │          │                   │                  │ parsing certificates                                        │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-0778                   │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libssl1.1             │ CVE-2022-2097  │ HIGH     │ 1.1.1l-r0         │ 1.1.1q-r0        │ openssl: AES OCB fails to encrypt some bytes                │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-2097                   │
├───────────────────────┼────────────────┤          ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ ncurses-libs          │ CVE-2022-29458 │          │ 6.2_p20210109-r0  │ 6.2_p20210109-r1 │ ncurses: segfaulting OOB read                               │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-29458                  │
├───────────────────────┤                │          │                   │                  │                                                             │
│ ncurses-terminfo-base │                │          │                   │                  │                                                             │
│                       │                │          │                   │                  │                                                             │
├───────────────────────┼────────────────┼──────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ pcre2                 │ CVE-2022-1586  │ CRITICAL │ 10.36-r0          │ 10.36-r1         │ pcre2: Out-of-bounds read in compile_xclass_matchingpath in │
│                       │                │          │                   │                  │ pcre2_jit_compile.c                                         │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1586                   │
│                       ├────────────────┤          │                   │                  ├─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-1587  │          │                   │                  │ pcre2: Out-of-bounds read in get_recurse_data_length in     │
│                       │                │          │                   │                  │ pcre2_jit_compile.c                                         │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-1587                   │
├───────────────────────┼────────────────┤          ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ ssl_client            │ CVE-2022-28391 │          │ 1.32.1-r7         │ 1.32.1-r8        │ busybox: remote attackers may execute arbitrary code if     │
│                       │                │          │                   │                  │ netstat is used                                             │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-28391                  │
│                       ├────────────────┼──────────┤                   ├──────────────────┼─────────────────────────────────────────────────────────────┤
│                       │ CVE-2022-30065 │ HIGH     │                   │ 1.32.1-r9        │ busybox: A use-after-free in Busybox's awk applet leads to  │
│                       │                │          │                   │                  │ denial of service...                                        │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2022-30065                  │
├───────────────────────┼────────────────┤          ├───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ zlib                  │ CVE-2018-25032 │          │ 1.2.11-r3         │ 1.2.12-r0        │ zlib: A flaw found in zlib when compressing (not            │
│                       │                │          │                   │                  │ decompressing) certain inputs...                            │
│                       │                │          │                   │                  │ https://avd.aquasec.com/nvd/cve-2018-25032                  │
└───────────────────────┴────────────────┴──────────┴───────────────────┴──────────────────┴─────────────────────────────────────────────────────────────┘

usr/local/bin/helm-operator (gobinary)

Total: 11 (UNKNOWN: 1, LOW: 0, MEDIUM: 5, HIGH: 5, CRITICAL: 0)

┌─────────────────────────────────────┬─────────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│               Library               │    Vulnerability    │ Severity │         Installed Version          │           Fixed Version           │                            Title                             │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containerd/containerd    │ CVE-2022-23648      │ HIGH     │ v1.4.12                            │ 1.4.13, 1.5.10, 1.6.1             │ containerd: insecure handling of image volumes               │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-23648                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/docker/distribution      │ GHSA-qq97-vm5h-rrhg │ UNKNOWN  │ v2.7.0-rc.0+incompatible           │ v2.8.0                            │ OCI Manifest Type Confusion Issue                            │
│                                     │                     │          │                                    │                                   │ https://github.com/advisories/GHSA-qq97-vm5h-rrhg            │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc      │ CVE-2022-29162      │ HIGH     │ v1.0.2                             │ v1.1.2                            │ runc: incorrect handling of inheritable capabilities         │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-29162                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc      │ CVE-2021-43784      │ MEDIUM   │ v1.0.2                             │ 1.1.0                             │ runc: integer overflow in netlink bytemsg length field       │
│                                     │                     │          │                                    │                                   │ allows attacker to override...                               │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-43784                   │
│                                     ├─────────────────────┤          │                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2022-24769      │          │                                    │ v1.1.2                            │ moby: Default inheritable capabilities for linux container   │
│                                     │                     │          │                                    │                                   │ should be empty                                              │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-24769                   │
├─────────────────────────────────────┼─────────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                    │ CVE-2021-33194      │          │ v0.0.0-20210224082022-3d97a244fca7 │ 0.0.0-20210520170846-37e1c6afe023 │ golang: x/net/html: infinite loop in ParseFragment           │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                    │ CVE-2021-44716      │ HIGH     │ v0.0.0-20210224082022-3d97a244fca7 │ 0.0.0-20211209124913-491a49abca63 │ golang: net/http: limit growth of header canonicalization    │
│                                     │                     │          │                                    │                                   │ cache                                                        │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-44716                   │
│                                     ├─────────────────────┼──────────┤                                    ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2021-31525      │ MEDIUM   │                                    │ 0.0.0-20210428140749-89ef3d95e781 │ golang: net/http: panic in ReadRequest and ReadResponse when │
│                                     │                     │          │                                    │                                   │ reading a very large...                                      │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-31525                   │
│ github.com/prometheus/client_golang │ CVE-2022-21698      │ HIGH     │ v1.7.1                             │ 1.11.1                            │ prometheus/client_golang: Denial of service using         │
│                                     │                     │          │                                    │                                   │ InstrumentHandlerCounter                                  │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-21698                │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼───────────────────────────────────────────────────────────┤
│ golang.org/x/crypto                 │ CVE-2022-27191      │ HIGH     │ v0.0.0-20211202192323-5770296d904e │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server         │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼───────────────────────────────────────────────────────────┤
│ golang.org/x/sys                    │ CVE-2022-29526      │ MEDIUM   │ v0.0.0-20211116061358-0a5406a5449c │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group             │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-29526                │
├─────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼───────────────────────────────────────────────────────────┤
│ golang.org/x/text                   │ CVE-2021-38561      │ HIGH     │ v0.3.6                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language  │
│                                     │                     │          │                                    │                                   │ leads to DoS                                              │
│                                     │                     │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                │
└─────────────────────────────────────┴─────────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/helm3 (gobinary)

Total: 25 (UNKNOWN: 5, LOW: 0, MEDIUM: 6, HIGH: 13, CRITICAL: 1)

┌──────────────────────────────────────┬─────────────────────┬──────────┬────────────────────────────────────┬─────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│               Library                │    Vulnerability    │ Severity │         Installed Version          │              Fixed Version              │                            Title                             │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/Masterminds/vcs           │ CVE-2022-21235      │ CRITICAL │ v1.13.1                            │ 1.13.3                                  │ Improper Neutralization of Special Elements used in an OS    │
│                                      │                     │          │                                    │                                         │ Command ('OS Command...                                      │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-21235                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containerd/containerd     │ CVE-2021-41103      │ HIGH     │ v1.4.4                             │ v1.4.11, v1.5.7                         │ containerd: insufficiently restricted permissions on         │
│                                      │                     │          │                                    │                                         │ container root and plugin directories                        │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-41103                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containerd/containerd     │ CVE-2022-23648      │ HIGH     │ v1.4.4                             │ 1.4.13, 1.5.10, 1.6.1                   │ containerd: insecure handling of image volumes               │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-23648                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containerd/containerd     │ CVE-2021-32760      │ MEDIUM   │ v1.4.4                             │ v1.4.8, v1.5.4                          │ containerd: pulling and extracting crafted container image   │
│                                      │                     │          │                                    │                                         │ may result in Unix file...                                   │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-32760                   │
│                                      ├─────────────────────┤          │                                    ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2022-31030      │          │                                    │ v1.5.13, v1.6.6                         │ containerd is an open source container runtime. A bug was    │
│                                      │                     │          │                                    │                                         │ found in...                                                  │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-31030                   │
│                                      ├─────────────────────┼──────────┤                                    │                                         ├──────────────────────────────────────────────────────────────┤
│                                      │ GHSA-5ffw-gxpp-mxpf │ UNKNOWN  │                                    │                                         │ Improper Neutralization of Special Elements used in an OS    │
│                                      │                     │          │                                    │                                         │ Command ('OS Command...                                      │
│                                      │                     │          │                                    │                                         │ https://github.com/advisories/GHSA-5ffw-gxpp-mxpf            │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containerd/containerd     │ GHSA-5j5w-g665-5m35 │ UNKNOWN  │ v1.4.4                             │ 1.4.12, 1.5.8                           │ Ambiguous OCI manifest parsing                               │
│                                      │                     │          │                                    │                                         │ https://github.com/advisories/GHSA-5j5w-g665-5m35            │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/docker/cli                │ CVE-2021-41092      │ HIGH     │ v20.10.5+incompatible              │ v20.10.9                                │ docker: cli leaks private registry credentials to            │
│                                      │                     │          │                                    │                                         │ registry-1.docker.io                                         │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-41092                   │
├──────────────────────────────────────┼─────────────────────┤          ├────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/docker/distribution       │ CVE-2017-11468      │          │ v0.0.0-20191216044856-a8371794149d │ 2.7.0-rc.0                              │ docker-distribution: Does not properly restrict the amount   │
│                                      │                     │          │                                    │                                         │ of content accepted from a...                                │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2017-11468                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/docker/distribution       │ GHSA-qq97-vm5h-rrhg │ UNKNOWN  │ v0.0.0-20191216044856-a8371794149d │ v2.8.0                                  │ OCI Manifest Type Confusion Issue                            │
│                                      │                     │          │                                    │                                         │ https://github.com/advisories/GHSA-qq97-vm5h-rrhg            │
├──────────────────────────────────────┼─────────────────────┤          ├────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/image-spec │ GHSA-77vh-xpmg-72qh │          │ v1.0.1                             │ 1.0.2                                   │ Clarify `mediaType` handling                                 │
│                                      │                     │          │                                    │                                         │ https://github.com/advisories/GHSA-77vh-xpmg-72qh            │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc       │ CVE-2019-16884      │ HIGH     │ v0.1.1                             │ 1.0.0-rc8.0.20190930145003-cad42f6e0932 │ runc: AppArmor/SELinux bypass with malicious image that      │
│                                      │                     │          │                                    │                                         │ specifies a volume at /proc...                               │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2019-16884                   │
│                                      ├─────────────────────┤          │                                    ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2019-19921      │          │                                    │ 1.0.0-rc9.0.20200122160610-2fc03cc11c77 │ runc: volume mount race condition with shared mounts leads   │
│                                      │                     │          │                                    │                                         │ to information leak/integrity...                             │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2019-19921                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc       │ CVE-2021-30465      │ HIGH     │ v0.1.1                             │ v1.0.0-rc1                              │ runc: vulnerable to symlink exchange attack                  │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-30465                   │
│                                      ├─────────────────────┤          │                                    ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2022-29162      │          │                                    │ v1.1.2                                  │ runc: incorrect handling of inheritable capabilities         │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-29162                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc       │ CVE-2016-9962       │ MEDIUM   │ v0.1.1                             │ 1.0.0-rc3                               │ docker: insecure opening of file-descriptor allows privilege │
│                                      │                     │          │                                    │                                         │ escalation                                                   │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2016-9962                    │
│                                      ├─────────────────────┤          │                                    ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2022-24769      │          │                                    │ v1.1.2                                  │ moby: Default inheritable capabilities for linux container   │
│                                      │                     │          │                                    │                                         │ should be empty                                              │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-24769                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc       │ GHSA-g54h-m393-cpwq │ UNKNOWN  │ v0.1.1                             │ 1.0.0-rc91                              │ Devices resource list treated as a denylist by default       │
│                                      │                     │          │                                    │                                         │ https://github.com/advisories/GHSA-g54h-m393-cpwq            │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/prometheus/client_golang  │ CVE-2022-21698      │ HIGH     │ v1.7.1                             │ 1.11.1                                  │ prometheus/client_golang: Denial of service using            │
│                                      │                     │          │                                    │                                         │ InstrumentHandlerCounter                                     │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-21698                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto                  │ CVE-2022-27191      │ HIGH     │ v0.0.0-20210220033148-5ea612d1eb83 │ 0.0.0-20220314234659-1baeb1ce4c0b       │ golang: crash in a golang.org/x/crypto/ssh server            │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-27191                   │
├──────────────────────────────────────┼─────────────────────┤          ├────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                     │ CVE-2021-33194      │          │ v0.0.0-20210224082022-3d97a244fca7 │ 0.0.0-20210520170846-37e1c6afe023       │ golang: x/net/html: infinite loop in ParseFragment           │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                     │ CVE-2021-44716      │ HIGH     │ v0.0.0-20210224082022-3d97a244fca7 │ 0.0.0-20211209124913-491a49abca63       │ golang: net/http: limit growth of header canonicalization    │
│                                      │                     │          │                                    │                                         │ cache                                                        │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-44716                   │
│                                      ├─────────────────────┼──────────┤                                    ├─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2021-31525      │ MEDIUM   │                                    │ 0.0.0-20210428140749-89ef3d95e781       │ golang: net/http: panic in ReadRequest and ReadResponse when │
│                                      │                     │          │                                    │                                         │ reading a very large...                                      │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-31525                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys                     │ CVE-2022-29526      │ MEDIUM   │ v0.0.0-20210225134936-a50acf3fe073 │ 0.0.0-20220412211240-33da011f77ad       │ golang: syscall: faccessat checks wrong group                │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2022-29526                   │
├──────────────────────────────────────┼─────────────────────┼──────────┼────────────────────────────────────┼─────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text                    │ CVE-2021-38561      │ HIGH     │ v0.3.4                             │ 0.3.7                                   │ golang: out-of-bounds read in golang.org/x/text/language     │
│                                      │                     │          │                                    │                                         │ leads to DoS                                                 │
│                                      │                     │          │                                    │                                         │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└──────────────────────────────────────┴─────────────────────┴──────────┴────────────────────────────────────┴─────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘

@pjbgf
build: fix Makefile
6041e94 
The GOBIN var was suffixed with double '/bin'.

In CircleCI, the GOPATH had multiple locations separated by ':'
which was breaking the use of make.

Signed-off-by: Paulo Gomes <pjbgf@linux.com>
@pjbgf
build: update base image to alpine:3.15
d1ad980 
Signed-off-by: Paulo Gomes <pjbgf@linux.com>
@pjbgf
build: to a supported circleci image
9464e4d 
The former ubuntu-1604 has been deprecated and is no
longer supported by CircleCI.

Signed-off-by: Paulo Gomes <pjbgf@linux.com>
@pjbgf
update to Go 1.16
dc69f13 
Signed-off-by: Paulo Gomes <pjbgf@linux.com>
@pjbgf
Update helm and kubectl binaries
1969bba 
Signed-off-by: Paulo Gomes <pjbgf@linux.com>
@pjbgf
update dependencies
ecd2a19 
Signed-off-by: Paulo Gomes <pjbgf@linux.com>
@pjbgf pjbgf marked this pull request as ready for review July 26, 2022 19:28
@pjbgf pjbgf requested a review from kingdonb July 26, 2022 19:29
hiddeco
hiddeco approved these changes Jul 27, 2022
View reviewed changes
Copy link
Member

@hiddeco hiddeco left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Thank you @pjbgf 🙇

@pjbgf pjbgf merged commit e816395 into fluxcd:master Jul 27, 2022
@pjbgf pjbgf deleted the update-deps branch July 27, 2022 09:11
Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Reviewers

@hiddeco hiddeco hiddeco approved these changes

@kingdonb kingdonb Awaiting requested review from kingdonb

Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.

None yet
2 participants
@pjbgf @hiddeco