loki icon indicating copy to clipboard operation
loki copied to clipboard

Published 20 hours ago verified publisher icon grafana

Multiple CVE's in loki:2.5.0/loki:2.6.0 and loki:master Docker Image

Open 3XC1T3D opened this issue 2 years ago • 2 comments

Hi,

we check our images with the vulnerability scanner trivy. Here we have following result:

┌──────────────────────────────────┬────────────────┬──────────┬──────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│             Library              │ Vulnerability  │ Severity │          Installed Version           │           Fixed Version           │                            Title                             │
├──────────────────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/prometheus/prometheus │ CVE-2019-3826  │ MEDIUM   │ v1.8.2-0.20220303173753-edfe657b5405 │ v2.7.1                            │ prometheus: Stored DOM cross-site scripting (XSS) attack via │
│                                  │                │          │                                      │                                   │ crafted URL                                                  │
│                                  │                │          │                                      │                                   │ https://avd.aquasec.com/nvd/cve-2019-3826                    │
├──────────────────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.etcd.io/etcd                  │ CVE-2018-1098  │ HIGH     │ v3.3.25+incompatible                 │ 3.4.0                             │ etcd: Cross-site request forgery via crafted local POST      │
│                                  │                │          │                                      │                                   │ forms                                                        │
│                                  │                │          │                                      │                                   │ https://avd.aquasec.com/nvd/cve-2018-1098                    │
├──────────────────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.etcd.io/etcd                  │ CVE-2018-1099  │ MEDIUM   │ v3.3.25+incompatible                 │ 3.4.0                             │ etcd: DNS rebinding vulnerability in etcd server             │
│                                  │                │          │                                      │                                   │ https://avd.aquasec.com/nvd/cve-2018-1099                    │
├──────────────────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto              │ CVE-2022-27191 │ HIGH     │ v0.0.0-20211215153901-e495a2d5b3d3   │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server            │
│                                  │                │          │                                      │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                   │
└──────────────────────────────────┴────────────────┴──────────┴──────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘

Is it possible that you update the specific Library in the Docker Image? Especially the one with the HIGH Vulnerability.

Best Regards

3XC1T3D avatar Jun 29 '22 14:06 3XC1T3D

I updated the CVE List.

Could you please fix at least the HIGH Severity CVE's?

3XC1T3D avatar Jul 12 '22 09:07 3XC1T3D

I tried myself but etcd version 3.4.0 has a different import/path.

It’s too complex for me as I am not enough fluent in go to update the source code relative to the change in etcd 3.4+

Maybe someone from the grafana/loki team could…

cpontvieux-systra avatar Aug 04 '22 13:08 cpontvieux-systra

There are still open CVE in the Loki 2.6.1 Docker image:

usr/bin/logcli-linux-amd64 (gobinary)
=====================================
Total: 3 (HIGH: 3, CRITICAL: 0)

┌─────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version          │           Fixed Version           │                            Title                            │
├─────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2022-27191 │ HIGH     │ v0.0.0-20211215153901-e495a2d5b3d3 │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server           │
│                     │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                  │
├─────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2022-27664 │          │ v0.0.0-20220127200216-cd36cc0744dd │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│                     │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                  │
├─────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2022-32149 │          │ v0.3.7                             │ 0.3.8                             │ golang: golang.org/x/text/language: ParseAcceptLanguage     │
│                     │                │          │                                    │                                   │ takes a long time to parse complex tags                     │
│                     │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                  │
└─────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘

usr/bin/loki (gobinary)
=======================
Total: 3 (HIGH: 3, CRITICAL: 0)

┌─────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version          │           Fixed Version           │                            Title                            │
├─────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2022-27191 │ HIGH     │ v0.0.0-20211215153901-e495a2d5b3d3 │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server           │
│                     │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                  │
├─────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2022-27664 │          │ v0.0.0-20220127200216-cd36cc0744dd │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│                     │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                  │
├─────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2022-32149 │          │ v0.3.7                             │ 0.3.8                             │ golang: golang.org/x/text/language: ParseAcceptLanguage     │
│                     │                │          │                                    │                                   │ takes a long time to parse complex tags                     │
│                     │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                  │
└─────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘```

3XC1T3D avatar Oct 25 '22 06:10 3XC1T3D