 trivy image --scanners vuln docker.elastic.co/logstash/logstash:8.9.1 2023-08-29T09:00:48.156-0600 INFO Vulnerability scanning is enabled 2023-08-29T09:00:58.864-0600 INFO JAR files found 2023-08-29T09:00:58.864-0600 INFO Java DB Repository: ghcr.io/aquasecurity/trivy-java-db:1 2023-08-29T09:00:58.864-0600 INFO Downloading the Java DB... 457.57 MiB / 457.57 MiB [---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------] 100.00% 29.00 MiB p/s 16s 2023-08-29T09:01:15.722-0600 INFO The Java DB is cached for 3 days. If you want to update the database more frequently, the '--reset' flag clears the DB cache. 2023-08-29T09:01:15.723-0600 INFO Analyzing JAR files takes a while... 2023-08-29T09:01:15.885-0600 INFO Detected OS: ubuntu 2023-08-29T09:01:15.885-0600 INFO Detecting Ubuntu vulnerabilities... 2023-08-29T09:01:15.890-0600 INFO Number of language-specific files: 2 2023-08-29T09:01:15.890-0600 INFO Detecting gemspec vulnerabilities... 2023-08-29T09:01:15.899-0600 INFO Detecting jar vulnerabilities... 2023-08-29T09:01:15.906-0600 WARN maven constraint error ([10.5-alpha0,10.5.3.0_1]): failed to new comparer: 2 errors occurred: * improper constraint: [10.5-alpha0,10.5.3.0_1] * improper requirements: [] docker.elastic.co/logstash/logstash:8.9.1 (ubuntu 20.04) Total: 21 (UNKNOWN: 0, LOW: 14, MEDIUM: 7, HIGH: 0, CRITICAL: 0) ┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ coreutils │ CVE-2016-2781 │ LOW │ affected │ 8.30-3ubuntu2 │ │ coreutils: Non-privileged session can escape to the parent │ │ │ │ │ │ │ │ session in chroot │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │ ├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ gpgv │ CVE-2022-3219 │ │ │ 2.2.19-3ubuntu2.2 │ │ denial of service issue (resource consumption) using │ │ │ │ │ │ │ │ compressed packets │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ krb5-locales │ CVE-2023-36054 │ MEDIUM │ │ 1.17-6ubuntu4.3 │ │ Denial of service through freeing uninitialized pointer │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libc-bin │ CVE-2016-20013 │ LOW │ │ 2.31-0ubuntu9.9 │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │ │ │ │ │ │ │ │ cause a denial of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │ ├──────────────────┤ │ │ │ ├───────────────┤ │ │ libc6 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libgssapi-krb5-2 │ CVE-2023-36054 │ MEDIUM │ │ 1.17-6ubuntu4.3 │ │ Denial of service through freeing uninitialized pointer │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │ ├──────────────────┤ │ │ │ ├───────────────┤ │ │ libk5crypto3 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────┤ │ │ │ ├───────────────┤ │ │ libkrb5-3 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────┤ │ │ │ ├───────────────┤ │ │ libkrb5support0 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libldap-2.4-2 │ CVE-2023-2953 │ LOW │ │ 2.4.49+dfsg-2ubuntu1.9 │ │ null pointer dereference in ber_memalloc_x function │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2953 │ ├──────────────────┤ │ │ │ ├───────────────┤ │ │ libldap-common │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libpcre3 │ CVE-2017-11164 │ │ │ 2:8.39-12ubuntu0.1 │ │ pcre: OP_KETRMAX feature in the match function in │ │ │ │ │ │ │ │ pcre_exec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libprocps8 │ CVE-2023-4016 │ MEDIUM │ │ 2:3.3.16-1ubuntu2.3 │ │ ps buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ libsystemd0 │ CVE-2023-26604 │ LOW │ │ 245.4-4ubuntu3.22 │ │ privilege escalation via the less pager │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26604 │ ├──────────────────┤ │ │ │ ├───────────────┤ │ │ libudev1 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ locales │ CVE-2016-20013 │ │ │ 2.31-0ubuntu9.9 │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │ │ │ │ │ │ │ │ cause a denial of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │ ├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ login │ CVE-2013-4235 │ │ │ 1:4.8.1-1ubuntu5.20.04.4 │ │ shadow-utils: TOCTOU race conditions by copying and removing │ │ │ │ │ │ │ │ directory trees │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │ │ │ │ │ │ │ │ chfn │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │ ├──────────────────┼────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ passwd │ CVE-2013-4235 │ │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │ │ │ │ │ │ │ │ directory trees │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │ │ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │ │ │ │ │ │ │ │ chfn │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │ ├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ procps │ CVE-2023-4016 │ MEDIUM │ │ 2:3.3.16-1ubuntu2.3 │ │ ps buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │ └──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ 2023-08-29T09:01:16.071-0600 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file. Java (jar) Total: 29 (UNKNOWN: 0, LOW: 1, MEDIUM: 12, HIGH: 11, CRITICAL: 5) ┌───────────────────────────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.guava:guava (guava-18.0.jar) │ CVE-2023-2976 │ HIGH │ fixed │ 18.0 │ 32.0.0 │ insecure temporary directory creation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │ │ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-10237 │ MEDIUM │ │ │ 24.1.1-jre, 24.1.1-android │ guava: Unbounded memory allocation in AtomicDoubleArray and │ │ │ │ │ │ │ │ CompoundOrdering classes allow remote attackers... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10237 │ │ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8908 │ LOW │ │ │ 30.0 │ local information disclosure via temporary directory created │ │ │ │ │ │ │ │ with unsafe permissions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8908 │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ com.google.guava:guava (guava-31.1-jre.jar) │ CVE-2023-2976 │ HIGH │ │ 31.1-jre │ 32.0.0 │ insecure temporary directory creation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2976 │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ commons-io:commons-io (commons-io-2.2.jar) │ CVE-2021-29425 │ MEDIUM │ │ 2.2 │ 2.7 │ apache-commons-io: Limited path traversal in Apache Commons │ │ │ │ │ │ │ │ IO 2.2 to 2.6 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29425 │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ commons-io:commons-io (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.derby:derby (derby-10.14.1.0.jar) │ CVE-2018-1313 │ │ │ 10.14.1.0 │ 10.14.2.0 │ derby: Externally-controlled input vulnerability allows │ │ │ │ │ │ │ │ remote attacker to boot a database under... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1313 │ ├───────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.httpcomponents:httpclient │ CVE-2015-5262 │ │ │ 4.3.5 │ 4.3.6 │ jakarta-commons-httpclient, httpcomponents-core: missing │ │ (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ HTTPS connection timeout │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-5262 │ │ ├────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-13956 │ │ │ │ 4.5.13 │ incorrect handling of malformed authority component in │ │ │ │ │ │ │ │ request URIs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13956 │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.apache.maven:maven-compat (maven-compat-3.3.9.jar) │ CVE-2021-26291 │ CRITICAL │ │ 3.3.9 │ 3.8.1 │ Block repositories using http by default │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-26291 │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ org.apache.maven:maven-core (maven-core-3.3.9.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.bouncycastle:bcprov-jdk18on (bcprov-jdk18on-1.71.jar) │ CVE-2023-33201 │ MEDIUM │ │ 1.71 │ 1.74 │ potential blind LDAP injection attack using a self-signed │ │ │ │ │ │ │ │ certificate │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33201 │ ├───────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.glassfish.jersey.core:jersey-common │ CVE-2021-28168 │ │ │ 2.33 │ 2.34, 3.0.2 │ jersey: Local information disclosure via system temporary │ │ (jersey-common-2.33.jar) │ │ │ │ │ │ directory │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28168 │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2021-37714 │ HIGH │ │ 1.7.2 │ 1.14.2 │ jsoup: Crafted input may cause the jsoup HTML and XML parser │ │ │ │ │ │ │ │ to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37714 │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2015-6748 │ MEDIUM │ │ │ 1.8.3 │ jsoup: XSS vulnerability related to incomplete tags at EOF │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-6748 │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┼────────────────┤ │ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.jsoup:jsoup (jsoup-1.7.2.jar) │ CVE-2022-36033 │ │ │ │ 1.15.3 │ The jsoup cleaner may incorrectly sanitize crafted XSS │ │ │ │ │ │ │ │ attempts if SafeList.preserveRelativeLinks is... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-36033 │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ org.jsoup:jsoup (wagon-http-2.10-shaded.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.xerial.snappy:snappy-java (snappy-java-1.1.0.1.jar) │ CVE-2023-34453 │ HIGH │ │ 1.1.0.1 │ 1.1.10.1 │ Integer overflow in shuffle leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34454 │ │ │ │ │ Integer overflow in compress leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34455 │ │ │ │ │ Unchecked chunk length leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │ ├───────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┤ ├──────────────────────────────────────────────────────────────┤ │ org.xerial.snappy:snappy-java (snappy-java-1.1.8.4.jar) │ CVE-2023-34453 │ │ │ 1.1.8.4 │ │ Integer overflow in shuffle leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34453 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34454 │ │ │ │ │ Integer overflow in compress leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34454 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-34455 │ │ │ │ │ Unchecked chunk length leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34455 │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ org.yaml:snakeyaml (snakeyaml-1.33.jar) │ CVE-2022-1471 │ CRITICAL │ │ 1.33 │ 2.0 │ Constructor Deserialization Remote Code Execution │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1471 │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ org.yaml:snakeyaml (logstash-filter-useragent-3.3.4.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┤ │ │ │ │ │ │ │ org.yaml:snakeyaml (snakeyaml-1.33.jar) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├───────────────────────────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ xalan:xalan (xalan.jar) │ CVE-2022-34169 │ HIGH │ affected │ 2.7.2 │ │ integer truncation issue in Xalan-J (JAXP, 8285407) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-34169 │ └───────────────────────────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘ 2023-08-29T09:01:16.099-0600 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file. Ruby (gemspec) Total: 2 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 0, CRITICAL: 0) ┌──────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────┬─────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────┼─────────────────────────────────────────────────────────────┤ │ nokogiri (nokogiri-1.13.10-java.gemspec) │ GHSA-pxvg-2qj5-37jq │ MEDIUM │ fixed │ 1.13.10 │ >= 1.14.3 │ Update packaged libxml2 to v2.10.4 to resolve multiple CVEs │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-pxvg-2qj5-37jq │ ├──────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────┼─────────────────────────────────────────────────────────────┤ │ puma (puma-5.6.6-java.gemspec) │ CVE-2023-40175 │ │ │ 5.6.6 │ ~> 5.6.7, >= 6.3.1 │ HTTP request smuggling when parsing chunked transfer │ │ │ │ │ │ │ │ encoding bodies and zero-length content-length... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40175 │ └──────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────┴─────────────────────────────────────────────────────────────┘