Skip to content

Instantly share code, notes, and snippets.

@datamattsson

datamattsson/go 1.17 -> 1.16 Secret

Created December 9, 2022 17:41
Show Gist options
  • Save datamattsson/e1038144465ace0177dd8b904e9de278 to your computer and use it in GitHub Desktop.
Save datamattsson/e1038144465ace0177dd8b904e9de278 to your computer and use it in GitHub Desktop.
Download ZIP
trivy output
Raw
go 1.17 -> 1.16
~/code/csi-next/external-attacher:mmattsson$ trivy fs . |pbcopy
2022-12-09T09:39:21.939-0800 INFO Vulnerability scanning is enabled
2022-12-09T09:39:21.939-0800 INFO Secret scanning is enabled
2022-12-09T09:39:21.939-0800 INFO If your scanning is slow, please try '--security-checks vuln' to disable secret scanning
2022-12-09T09:39:21.939-0800 INFO Please see also https://aquasecurity.github.io/trivy/v0.35/docs/secret/scanning/#recommendation for faster secret detection
2022-12-09T09:39:25.207-0800 INFO Number of language-specific files: 16
2022-12-09T09:39:25.207-0800 INFO Detecting gomod vulnerabilities...
go.mod (gomod)
==============
Total: 9 (UNKNOWN: 5, LOW: 0, MEDIUM: 1, HIGH: 2, CRITICAL: 1)
┌────────────────────────────────┬─────────────────────┬──────────┬─────────────────────────────────────┬──────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────┼─────────────────────┼──────────┼─────────────────────────────────────┼──────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/dgrijalva/jwt-go │ CVE-2020-26160 │ HIGH │ 3.2.0+incompatible │ │ jwt-go: access restriction bypass vulnerability │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-26160 │
│ ├─────────────────────┼──────────┤ ├──────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-w73w-5m7g-f7qc │ UNKNOWN │ │ │ If a JWT contains an audience claim with an array of │
│ │ │ │ │ │ strings,... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-w73w-5m7g-f7qc │
├────────────────────────────────┼─────────────────────┼──────────┼─────────────────────────────────────┼──────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/emicklei/go-restful │ CVE-2022-1996 │ CRITICAL │ 2.9.5+incompatible │ 2.16.0 │ go-restful: Authorization Bypass Through User-Controlled Key │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1996 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-r48q-9g5r-8q2h │ UNKNOWN │ │ │ CORS filters that use an AllowedDomains configuration │
│ │ │ │ │ │ parameter can match domains outside... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-r48q-9g5r-8q2h │
├────────────────────────────────┼─────────────────────┼──────────┼─────────────────────────────────────┼──────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/miekg/dns │ CVE-2019-19794 │ MEDIUM │ 1.0.14 │ 1.1.25-0.20191211073109-8ebf2e419df7 │ golang-github-miekg-dns: predictable TXID can lead to │
│ │ │ │ │ │ response forgeries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19794 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-44r7-7p62-q3fr │ UNKNOWN │ │ │ DNS message transaction IDs are generated using math/rand │
│ │ │ │ │ │ which makes them relatively... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-44r7-7p62-q3fr │
├────────────────────────────────┼─────────────────────┼──────────┼─────────────────────────────────────┼──────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2022-27191 │ HIGH │ 0.0.0-20220214200702-86341886e292 │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-8c26-wmh5-6g9v │ UNKNOWN │ │ │ Attackers can cause a crash in SSH servers when the server │
│ │ │ │ │ │ has... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-8c26-wmh5-6g9v │
├────────────────────────────────┼─────────────────────┤ ├─────────────────────────────────────┼──────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2022-41717 │ │ 0.1.1-0.20221027164007-c63010009c80 │ 0.4.0 │ An attacker can cause excessive memory growth in a Go server │
│ │ │ │ │ │ accepting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
└────────────────────────────────┴─────────────────────┴──────────┴─────────────────────────────────────┴──────────────────────────────────────┴──────────────────────────────────────────────────────────────┘
vendor/github.com/go-openapi/jsonpointer/go.mod (gomod)
=======================================================
Total: 5 (UNKNOWN: 4, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)
┌──────────────────┬─────────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v2 │ CVE-2019-11254 │ MEDIUM │ 2.2.2 │ 2.2.8 │ kubernetes: Denial of service in API server via crafted YAML │
│ │ │ │ │ │ payloads by... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-11254 │
│ ├─────────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4235 │ UNKNOWN │ │ 2.2.3 │ Due to unbounded alias chasing, a maliciously crafted YAML │
│ │ │ │ │ │ file can cause... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4235 │
│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3064 │ │ │ 2.2.4 │ Parsing malicious or large YAML documents can consume │
│ │ │ │ │ │ excessive amounts of CPU... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3064 │
│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-wxc4-f4m6-wwqv │ │ │ 2.2.8 │ Due to unbounded aliasing, a crafted YAML file can cause │
│ │ │ │ │ │ consumption of... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-wxc4-f4m6-wwqv │
│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ GMS-2019-2 │ │ │ v2.2.3 │ XML Entity Expansion │
└──────────────────┴─────────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
vendor/github.com/go-openapi/jsonreference/go.mod (gomod)
=========================================================
Total: 24 (UNKNOWN: 10, LOW: 0, MEDIUM: 4, HIGH: 10, CRITICAL: 0)
┌─────────────────────┬─────────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH │ 0.0.0-20190308221718-c2843e01d9a2 │ 0.0.0-20201216223049-8b5274cf687f │ golang: crypto/ssh: crafted authentication request can lead │
│ │ │ │ │ │ to nil pointer dereference │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29652 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-7919 │ │ │ 0.0.0-20200124225646-8b5121be2f68 │ golang: Integer overflow on 32bit architectures via crafted │
│ │ │ │ │ │ certificate allows for denial... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-7919 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9283 │ │ │ 0.0.0-20200220183623-bac4c82f6975 │ golang.org/x/crypto: Processing of crafted ssh-ed25519 │
│ │ │ │ │ │ public keys allows for panic │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9283 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-43565 │ │ │ 0.0.0-20211202192323-5770296d904e │ golang.org/x/crypto: empty plaintext packet causes panic │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43565 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27191 │ │ │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-11840 │ MEDIUM │ │ 0.0.0-20190320223903-b7391e95e576 │ golang.org/x/crypto: Keystream loop in amd64 assembly when │
│ │ │ │ │ │ overflowing 32-bit counter │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-11840 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-8c26-wmh5-6g9v │ UNKNOWN │ │ 0.0.0-20220314234659-1baeb1ce4c0b │ Attackers can cause a crash in SSH servers when the server │
│ │ │ │ │ │ has... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-8c26-wmh5-6g9v │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-cjjc-xp8v-855w │ │ │ 0.0.0-20200124225646-8b5121be2f68 │ On 32-bit architectures, a malformed input to crypto/x509 or │
│ │ │ │ │ │ the ASN.1 parsing... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-cjjc-xp8v-855w │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-ffhg-7mh4-33c4 │ │ │ 0.0.0-20200220183623-bac4c82f6975 │ An attacker can craft an ssh-ed25519 or │
│ │ │ │ │ │ [email protected] public key, such that... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-ffhg-7mh4-33c4 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-gwc9-m7rh-j2ww │ │ │ 0.0.0-20211202192323-5770296d904e │ Unauthenticated clients can cause a panic in SSH servers. │
│ │ │ │ │ │ │
│ │ │ │ │ │ When using AES-GCM or... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-gwc9-m7rh-j2ww │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2021-33194 │ HIGH │ 0.0.0-20190827160401-ba9fcec4b297 │ 0.0.0-20210520170846-37e1c6afe023 │ golang: x/net/html: infinite loop in ParseFragment │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33194 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-44716 │ │ │ 0.0.0-20211209124913-491a49abca63 │ golang: net/http: limit growth of header canonicalization │
│ │ │ │ │ │ cache │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44716 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27664 │ │ │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-31525 │ MEDIUM │ │ 0.0.0-20210428140749-89ef3d95e781 │ golang: net/http: panic in ReadRequest and ReadResponse when │
│ │ │ │ │ │ reading a very large... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-31525 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41717 │ UNKNOWN │ │ 0.4.0 │ An attacker can cause excessive memory growth in a Go server │
│ │ │ │ │ │ accepting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ 0.0.0-20190215142949-d0b11bdaac8a │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text │ CVE-2021-38561 │ HIGH │ 0.3.3 │ 0.3.7 │ golang: out-of-bounds read in golang.org/x/text/language │
│ │ │ │ │ │ leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-38561 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-32149 │ │ │ 0.3.8 │ golang: golang.org/x/text/language: ParseAcceptLanguage │
│ │ │ │ │ │ takes a long time to parse complex tags │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-69ch-w2m2-3vjp │ UNKNOWN │ │ │ An attacker may cause a denial of service by crafting an │
│ │ │ │ │ │ Accept-Language... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-69ch-w2m2-3vjp │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v2 │ CVE-2019-11254 │ MEDIUM │ 2.2.2 │ 2.2.8 │ kubernetes: Denial of service in API server via crafted YAML │
│ │ │ │ │ │ payloads by... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-11254 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4235 │ UNKNOWN │ │ 2.2.3 │ Due to unbounded alias chasing, a maliciously crafted YAML │
│ │ │ │ │ │ file can cause... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4235 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3064 │ │ │ 2.2.4 │ Parsing malicious or large YAML documents can consume │
│ │ │ │ │ │ excessive amounts of CPU... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3064 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-wxc4-f4m6-wwqv │ │ │ 2.2.8 │ Due to unbounded aliasing, a crafted YAML file can cause │
│ │ │ │ │ │ consumption of... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-wxc4-f4m6-wwqv │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GMS-2019-2 │ │ │ v2.2.3 │ XML Entity Expansion │
└─────────────────────┴─────────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
vendor/github.com/imdario/mergo/go.mod (gomod)
==============================================
Total: 2 (UNKNOWN: 1, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)
┌──────────────────┬─────────────────────┬──────────┬───────────────────┬───────────────┬───────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼───────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v3 │ CVE-2022-28948 │ HIGH │ 3.0.0 │ 3.0.1 │ golang-gopkg-yaml: crash when attempting to deserialize │
│ │ │ │ │ │ invalid input │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28948 │
│ ├─────────────────────┼──────────┤ │ ├───────────────────────────────────────────────────────────┤
│ │ GHSA-hp87-p4gw-j4gq │ UNKNOWN │ │ │ An issue in the Unmarshal function can cause a program to │
│ │ │ │ │ │ panic... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-hp87-p4gw-j4gq │
└──────────────────┴─────────────────────┴──────────┴───────────────────┴───────────────┴───────────────────────────────────────────────────────────┘
vendor/github.com/prometheus/procfs/go.mod (gomod)
==================================================
Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬───────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼───────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ 0.0.0-20210124154548-22da62e12c0c │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
└──────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴───────────────────────────────────────────────┘
vendor/golang.org/x/oauth2/go.mod (gomod)
=========================================
Total: 19 (UNKNOWN: 8, LOW: 0, MEDIUM: 3, HIGH: 8, CRITICAL: 0)
┌─────────────────────┬─────────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH │ 0.0.0-20200622213623-75b288015ac9 │ 0.0.0-20201216223049-8b5274cf687f │ golang: crypto/ssh: crafted authentication request can lead │
│ │ │ │ │ │ to nil pointer dereference │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29652 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-43565 │ │ │ 0.0.0-20211202192323-5770296d904e │ golang.org/x/crypto: empty plaintext packet causes panic │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43565 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27191 │ │ │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-8c26-wmh5-6g9v │ UNKNOWN │ │ │ Attackers can cause a crash in SSH servers when the server │
│ │ │ │ │ │ has... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-8c26-wmh5-6g9v │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-gwc9-m7rh-j2ww │ │ │ 0.0.0-20211202192323-5770296d904e │ Unauthenticated clients can cause a panic in SSH servers. │
│ │ │ │ │ │ │
│ │ │ │ │ │ When using AES-GCM or... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-gwc9-m7rh-j2ww │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2021-33194 │ HIGH │ 0.0.0-20200822124328-c89045814202 │ 0.0.0-20210520170846-37e1c6afe023 │ golang: x/net/html: infinite loop in ParseFragment │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33194 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-44716 │ │ │ 0.0.0-20211209124913-491a49abca63 │ golang: net/http: limit growth of header canonicalization │
│ │ │ │ │ │ cache │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44716 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27664 │ │ │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-31525 │ MEDIUM │ │ 0.0.0-20210428140749-89ef3d95e781 │ golang: net/http: panic in ReadRequest and ReadResponse when │
│ │ │ │ │ │ reading a very large... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-31525 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41717 │ UNKNOWN │ │ 0.4.0 │ An attacker can cause excessive memory growth in a Go server │
│ │ │ │ │ │ accepting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ 0.0.0-20200803210538-64077c9b5642 │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text │ CVE-2021-38561 │ HIGH │ 0.3.3 │ 0.3.7 │ golang: out-of-bounds read in golang.org/x/text/language │
│ │ │ │ │ │ leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-38561 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-32149 │ │ │ 0.3.8 │ golang: golang.org/x/text/language: ParseAcceptLanguage │
│ │ │ │ │ │ takes a long time to parse complex tags │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-69ch-w2m2-3vjp │ UNKNOWN │ │ │ An attacker may cause a denial of service by crafting an │
│ │ │ │ │ │ Accept-Language... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-69ch-w2m2-3vjp │
├─────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v2 │ CVE-2019-11254 │ MEDIUM │ 2.2.2 │ 2.2.8 │ kubernetes: Denial of service in API server via crafted YAML │
│ │ │ │ │ │ payloads by... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-11254 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4235 │ UNKNOWN │ │ 2.2.3 │ Due to unbounded alias chasing, a maliciously crafted YAML │
│ │ │ │ │ │ file can cause... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4235 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3064 │ │ │ 2.2.4 │ Parsing malicious or large YAML documents can consume │
│ │ │ │ │ │ excessive amounts of CPU... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3064 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-wxc4-f4m6-wwqv │ │ │ 2.2.8 │ Due to unbounded aliasing, a crafted YAML file can cause │
│ │ │ │ │ │ consumption of... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-wxc4-f4m6-wwqv │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GMS-2019-2 │ │ │ v2.2.3 │ XML Entity Expansion │
└─────────────────────┴─────────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
vendor/golang.org/x/term/go.mod (gomod)
=======================================
Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬───────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼───────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ 0.0.0-20210615035016-665e8c7367d1 │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
└──────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴───────────────────────────────────────────────┘
vendor/google.golang.org/grpc/go.mod (gomod)
============================================
Total: 2 (UNKNOWN: 1, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2022-27664 │ HIGH │ 0.0.0-20220722155237-a158d28d115b │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
│ ├────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41717 │ UNKNOWN │ │ 0.4.0 │ An attacker can cause excessive memory growth in a Go server │
│ │ │ │ │ │ accepting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
└──────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
vendor/k8s.io/csi-translation-lib/go.mod (gomod)
================================================
Total: 12 (UNKNOWN: 5, LOW: 0, MEDIUM: 1, HIGH: 5, CRITICAL: 1)
┌────────────────────────────────┬─────────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/emicklei/go-restful │ CVE-2022-1996 │ CRITICAL │ 0.0.0-20170410110728-ff4f55a20633 │ 2.16.0 │ go-restful: Authorization Bypass Through User-Controlled Key │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1996 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-r48q-9g5r-8q2h │ UNKNOWN │ │ │ CORS filters that use an AllowedDomains configuration │
│ │ │ │ │ │ parameter can match domains outside... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-r48q-9g5r-8q2h │
├────────────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH │ 0.0.0-20200622213623-75b288015ac9 │ 0.0.0-20201216223049-8b5274cf687f │ golang: crypto/ssh: crafted authentication request can lead │
│ │ │ │ │ │ to nil pointer dereference │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29652 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-43565 │ │ │ 0.0.0-20211202192323-5770296d904e │ golang.org/x/crypto: empty plaintext packet causes panic │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43565 │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-27191 │ │ │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-8c26-wmh5-6g9v │ UNKNOWN │ │ │ Attackers can cause a crash in SSH servers when the server │
│ │ │ │ │ │ has... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-8c26-wmh5-6g9v │
│ ├─────────────────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-gwc9-m7rh-j2ww │ │ │ 0.0.0-20211202192323-5770296d904e │ Unauthenticated clients can cause a panic in SSH servers. │
│ │ │ │ │ │ │
│ │ │ │ │ │ When using AES-GCM or... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-gwc9-m7rh-j2ww │
├────────────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2022-27664 │ HIGH │ 0.0.0-20220127200216-cd36cc0744dd │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
│ ├─────────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-41717 │ UNKNOWN │ │ 0.4.0 │ An attacker can cause excessive memory growth in a Go server │
│ │ │ │ │ │ accepting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41717 │
├────────────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ 0.0.0-20220209214540-3681064d5158 │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
├────────────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text │ CVE-2022-32149 │ HIGH │ 0.3.7 │ 0.3.8 │ golang: golang.org/x/text/language: ParseAcceptLanguage │
│ │ │ │ │ │ takes a long time to parse complex tags │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-69ch-w2m2-3vjp │ UNKNOWN │ │ │ An attacker may cause a denial of service by crafting an │
│ │ │ │ │ │ Accept-Language... │
│ │ │ │ │ │ https://github.com/advisories/GHSA-69ch-w2m2-3vjp │
└────────────────────────────────┴─────────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment