loki
loki copied to clipboard
Published
20 hours ago •
grafana
grafana
Provide both alpine and debian promtail images
For the systemd journal support to work in the published Docker images (grafana/loki), we currently require promtail to be based on top of one of the Debian images due to the runtime depedency on libsystemd.so.
Since most users will likely not need this functionality and may desire an alpine-based image, one solution is to provide an alpine-flavor build of promtail with each release. (i.e., grafana/loki:x.y.z-alpine).
Other approaches to this are welcome in the comments!
This issue has been automatically marked as stale because it has not had any activity in the past 30 days. It will be closed in 7 days if no further activity occurs. Thank you for your contributions.
![stale[bot] avatar](https://avatars.githubusercontent.com/in/1724?v=4 "Published by a pub.dev verified publisher"){kind=small}
Is there any plan to proceed with this topic? The current promtail image is showing lots of vulnerabilities in outdated open source components if uploaded to AWS ECR or Google container registry.
We haven't prioritized it, but we do understand this is important to people. I think at this stage we're still hoping for a better solution; providing an alpine image that doesn't support systemd journal reading feels a little bad.
/cc @slim-bean
Checking some other projects incl. Grafana, it seems to be a very common pattern to provide alpine based images and also images based on a more comprehensive operating system.
Here's what I ended up with:
FROM docker.io/grafana/promtail:2.4.0
FROM docker.io/alpine:3.14
RUN wget -O /etc/apk/keys/sgerrand.rsa.pub https://alpine-pkgs.sgerrand.com/sgerrand.rsa.pub && \
wget https://github.com/sgerrand/alpine-pkg-glibc/releases/download/2.34-r0/glibc-2.34-r0.apk && \
apk add --no-cache --force-non-repo glibc-2.34-r0.apk && \
rm glibc-2.34-r0.apk
COPY --from=0 /usr/lib/x86_64-linux-gnu/libsystemd.so /usr/local/lib/libsystemd.so
COPY --from=0 /lib/x86_64-linux-gnu/liblzma.so.5 /usr/local/lib/liblzma.so.5
COPY --from=0 /usr/lib/x86_64-linux-gnu/libzstd.so.1 /usr/local/lib/libzstd.so.1
COPY --from=0 /usr/lib/x86_64-linux-gnu/liblz4.so.1 /usr/local/lib/liblz4.so.1
COPY --from=0 /usr/lib/x86_64-linux-gnu/libgcrypt.so.20 /usr/local/lib/libgcrypt.so.20
COPY --from=0 /lib/x86_64-linux-gnu/libgpg-error.so.0 /usr/local/lib/libgpg-error.so.0
COPY --from=0 /usr/bin/promtail /usr/bin/promtail
COPY config.yml /etc/promtail/config.yml
ENV LD_LIBRARY_PATH=/usr/local/lib
CMD ["/usr/bin/promtail", "-config.expand-env", "-config.file=/etc/promtail/config.yml"]
The difference in size is ~100MB
localhost/promtail latest 2931ae8e0bd1 58 seconds ago 87.5 MB
docker.io/grafana/promtail 2.4.0 f568284f5b06 2 days ago 184 MB
@amenzhinsky
Maybe one of these tools can help in finding the right dependencies to copy for futur versions
https://github.com/grycap/minicon/blob/master/doc/minidock.md
https://github.com/docker-slim/docker-slim
@rfratto I see that loki-promtail is in alpine edge here: https://pkgs.alpinelinux.org/packages?name=loki-promtail&branch=edge&repo=testing&arch=&maintainer=. Will this continue to be maintained and move to community and main? It currently works with my application but I don't want to start using it if it has no future.
It appears the author is Michael Pirogov (@uu) but he isn't an official member of the grafana org. Do you know him?
Otherwise is there instructions for using a promtail agent within an Alpine image?
Tried to bump up 2.7.1, but there's some fails in tests. https://gitlab.alpinelinux.org/uuser/aports/-/jobs/943247
@uu thank you for helping to support this project. I don't know you and I wanted to get someone from the Grafana org like @rfratto to weigh in on your work. Especially since loki-promtail is in alpine edge testing.
I'm no longer involved with the Loki project and won't be able to weigh in on this, sorry folks.
cc @slim-bean
Trivy reports plenty of vulnerabilities in the base image. Would be great to switch to minimalistic alpine image, similar like loki does.
% trivy image -q grafana/promtail:3.0.0
grafana/promtail:3.0.0 (debian 11.9)
Total: 148 (UNKNOWN: 0, LOW: 82, MEDIUM: 35, HIGH: 29, CRITICAL: 2)
┌────────────────────┬─────────────────────┬──────────┬──────────────┬─────────────────────────┬──────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ affected │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ │ correctly... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ CVE-2022-3715 │ HIGH │ │ 5.1-2+deb11u1 │ │ a heap-buffer-overflow in valid_parameter_transform │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3715 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0841856-B18BAF │ LOW │ │ │ │ [Privilege escalation possible to other user than root] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │
│ │ │ │ │ │ │ 8BAF │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2024-28085 │ HIGH │ fixed │ 1:2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ │ will_not_fix │ 8.32-4+b1 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
│ ├─────────────────────┤ ├──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-18018 │ │ affected │ │ │ coreutils: race condition vulnerability in chown and chgrp │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ e2fsprogs │ CVE-2022-1304 │ HIGH │ │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-10-base │ CVE-2023-4039 │ MEDIUM │ │ 10.2.1-6 │ │ gcc: -fstack-protector fails to guard dynamic stack │
│ │ │ │ │ │ │ allocations on ARM64 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4039 │
├────────────────────┤ │ │ ├─────────────────────────┼──────────────────┤ │
│ gcc-9-base │ │ │ │ 9.3.0-22 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ LOW │ │ 2.2.27-2+deb11u2 │ │ denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0 │ CVE-2011-3374 │ │ │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ │ correctly... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1 │ CVE-2024-28085 │ HIGH │ fixed │ 2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2023-4806 │ MEDIUM │ │ 2.31-13+deb11u8 │ │ glibc: potential use-after-free in getaddrinfo() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4806 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4813 │ │ │ │ │ glibc: potential use-after-free in gaih_inet() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4813 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-4756 │ LOW │ │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ │ because of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2023-4806 │ MEDIUM │ │ │ │ glibc: potential use-after-free in getaddrinfo() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4806 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-4813 │ │ │ │ │ glibc: potential use-after-free in gaih_inet() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4813 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-4756 │ LOW │ │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ │ because of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libcom-err2 │ CVE-2022-1304 │ HIGH │ │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3 │ CVE-2019-8457 │ CRITICAL │ │ 5.3.28+dfsg1-0.8 │ │ heap out-of-bound read in function rtreenode() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libext2fs2 │ CVE-2022-1304 │ HIGH │ │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1 │ CVE-2023-4039 │ MEDIUM │ │ 10.2.1-6 │ │ gcc: -fstack-protector fails to guard dynamic stack │
│ │ │ │ │ │ │ allocations on ARM64 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4039 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2021-33560 │ HIGH │ │ 1.8.7-6 │ │ mishandles ElGamal encryption because it lacks exponent │
│ │ │ │ │ │ │ blinding to address a side-channel... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33560 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2236 │ MEDIUM │ │ │ │ libgcrypt: vulnerable to Marvin Attack │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2236 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-6829 │ LOW │ │ │ │ libgcrypt: ElGamal implementation doesn't have semantic │
│ │ │ │ │ │ │ security due to incorrectly encoded plaintexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30 │ CVE-2024-0553 │ HIGH │ │ 3.7.1-5+deb11u4 │ │ gnutls: incomplete fix for CVE-2023-5981 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0553 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-0567 │ │ │ │ │ gnutls: rejects certificate chain with distributed trust │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0567 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28834 │ MEDIUM │ │ │ │ gnutls: vulnerable to Minerva side-channel information leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28834 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28835 │ │ │ │ │ gnutls: potential crash during chain building/verification │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28835 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-3389 │ LOW │ │ │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │
│ │ │ │ │ │ │ (BEAST) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2024-26462 │ HIGH │ │ 1.18.3-6+deb11u4 │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-5709 │ LOW │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
├────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3 │ CVE-2024-26462 │ HIGH │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-5709 │ LOW │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
├────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3 │ CVE-2024-26462 │ HIGH │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-5709 │ LOW │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
├────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0 │ CVE-2024-26462 │ HIGH │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-5709 │ LOW │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1 │ CVE-2024-28085 │ HIGH │ fixed │ 2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules │ CVE-2024-22365 │ MEDIUM │ │ 1.4.0-9+deb11u1 │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┤ │ │ │ ├──────────────────┤ │
│ libpam-modules-bin │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┤ │ │ │ ├──────────────────┤ │
│ libpam-runtime │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┤ │ │ │ ├──────────────────┤ │
│ libpam0g │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre2-8-0 │ CVE-2022-41409 │ LOW │ │ 10.36-2+deb11u1 │ │ pcre2: negative repeat value in a pcre2test subject line │
│ │ │ │ │ │ │ leads to inifinite... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41409 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ │ │ 2:8.39-13 │ │ OP_KETRMAX feature in the match function in pcre_exec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-16231 │ │ │ │ │ pcre: self-recursive call in match() in pcre_exec.c leads to │
│ │ │ │ │ │ │ denial of service... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16231 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7245 │ │ │ │ │ stack-based buffer overflow write in pcre32_copy_substring │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7245 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7246 │ │ │ │ │ stack-based buffer overflow write in pcre32_copy_substring │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7246 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20838 │ │ │ │ │ pcre: Buffer over-read in JIT when UTF is disabled and \X │
│ │ │ │ │ │ │ or... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20838 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsepol1 │ CVE-2021-36084 │ │ │ 3.1-1 │ │ libsepol: use-after-free in __cil_verify_classperms() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36084 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36085 │ │ │ │ │ libsepol: use-after-free in __cil_verify_classperms() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36085 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36086 │ │ │ │ │ use-after-free in cil_reset_classpermission() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36086 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36087 │ │ │ │ │ libsepol: heap-based buffer overflow in ebitmap_match_any() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36087 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1 │ CVE-2024-28085 │ HIGH │ fixed │ 2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libss2 │ CVE-2022-1304 │ HIGH │ │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-5678 │ MEDIUM │ │ 1.1.1w-0+deb11u1 │ │ openssl: Generating excessively long X9.42 DH keys or │
│ │ │ │ │ │ │ checking excessively long X9.42... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5678 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-0727 │ │ │ │ │ openssl: denial of service via null dereference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0727 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-6755 │ LOW │ │ │ │ Dual_EC_DRBG: weak pseudo random number generator │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-0928 │ │ │ │ │ openssl: RSA authentication weakness │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2511 │ │ │ │ │ openssl: Unbounded memory growth with session handling in │
│ │ │ │ │ │ │ TLSv1.3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6 │ CVE-2023-4039 │ MEDIUM │ │ 10.2.1-6 │ │ gcc: -fstack-protector fails to guard dynamic stack │
│ │ │ │ │ │ │ allocations on ARM64 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4039 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd-dev │ CVE-2023-50387 │ HIGH │ │ 252.5-2~bpo11+1 │ │ bind9: KeyTrap - Extreme CPU consumption in DNSSEC validator │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50387 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50868 │ │ │ │ │ bind9: Preparing an NSEC3 closest encloser proof can exhaust │
│ │ │ │ │ │ │ CPU resources │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50868 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-7008 │ MEDIUM │ │ │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4392 │ LOW │ │ │ │ TOCTOU race condition when updating file permissions and │
│ │ │ │ │ │ │ SELinux security contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2023-50387 │ HIGH │ │ │ │ bind9: KeyTrap - Extreme CPU consumption in DNSSEC validator │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50387 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50868 │ │ │ │ │ bind9: Preparing an NSEC3 closest encloser proof can exhaust │
│ │ │ │ │ │ │ CPU resources │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50868 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-7008 │ MEDIUM │ │ │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4392 │ LOW │ │ │ │ TOCTOU race condition when updating file permissions and │
│ │ │ │ │ │ │ SELinux security contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2023-50495 │ MEDIUM │ │ 6.2+20201114-2+deb11u2 │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45918 │ LOW │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2023-50387 │ HIGH │ │ 247.3-7+deb11u4 │ │ bind9: KeyTrap - Extreme CPU consumption in DNSSEC validator │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50387 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50868 │ │ │ │ │ bind9: Preparing an NSEC3 closest encloser proof can exhaust │
│ │ │ │ │ │ │ CPU resources │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50868 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-7008 │ MEDIUM │ │ │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4392 │ LOW │ │ │ │ TOCTOU race condition when updating file permissions and │
│ │ │ │ │ │ │ SELinux security contexts │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1 │ CVE-2024-28085 │ HIGH │ fixed │ 2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1 │ CVE-2022-4899 │ HIGH │ │ 1.4.8+dfsg-2.1 │ │ zstd: mysql: buffer overrun in util.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4899 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2023-4641 │ MEDIUM │ │ 1:4.8.1-1 │ │ shadow-utils: possible password leak during passwd(1) change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4641 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-5686 │ LOW │ │ │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4235 │ │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ │ directory trees │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19882 │ │ │ │ │ shadow-utils: local users can obtain root access because │
│ │ │ │ │ │ │ setuid programs are misconfigured... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ │ chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│ │ │ │ │ │ │ AD28 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ logsave │ CVE-2022-1304 │ HIGH │ │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ mount │ CVE-2024-28085 │ │ fixed │ 2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2023-50495 │ MEDIUM │ │ 6.2+20201114-2+deb11u2 │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45918 │ LOW │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
├────────────────────┼─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin │ CVE-2023-50495 │ MEDIUM │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45918 │ LOW │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2023-5678 │ MEDIUM │ │ 1.1.1w-0+deb11u1 │ │ openssl: Generating excessively long X9.42 DH keys or │
│ │ │ │ │ │ │ checking excessively long X9.42... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-5678 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-0727 │ │ │ │ │ openssl: denial of service via null dereference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0727 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-6755 │ LOW │ │ │ │ Dual_EC_DRBG: weak pseudo random number generator │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-0928 │ │ │ │ │ openssl: RSA authentication weakness │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2511 │ │ │ │ │ openssl: Unbounded memory growth with session handling in │
│ │ │ │ │ │ │ TLSv1.3 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2023-4641 │ MEDIUM │ │ 1:4.8.1-1 │ │ shadow-utils: possible password leak during passwd(1) change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4641 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-5686 │ LOW │ │ │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4235 │ │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ │ directory trees │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19882 │ │ │ │ │ shadow-utils: local users can obtain root access because │
│ │ │ │ │ │ │ setuid programs are misconfigured... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ │ chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│ │ │ │ │ │ │ AD28 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base │ CVE-2020-16156 │ HIGH │ │ 5.32.1-4+deb11u3 │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │
│ │ │ │ │ │ │ files │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31484 │ │ │ │ │ perl: CPAN.pm does not verify TLS certificates when │
│ │ │ │ │ │ │ downloading distributions over HTTPS... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │
│ ├─────────────────────┼──────────┤ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-4116 │ LOW │ │ │ │ perl: File::Temp insecure temporary file handling │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31486 │ │ │ │ │ http-tiny: insecure TLS cert default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ sysvinit-utils │ TEMP-0517018-A83CE6 │ │ │ 2.96-7+deb11u1 │ │ [sysvinit: no-root option in expert installer exposes │
│ │ │ │ │ │ │ locally exploitable security flaw] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │
│ │ │ │ │ │ │ 3CE6 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ tar │ CVE-2005-2541 │ │ │ 1.34+dfsg-1+deb11u1 │ │ tar: does not properly warn the user when extracting setuid │
│ │ │ │ │ │ │ or setgid... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2005-2541 │
│ ├─────────────────────┤ │ │ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0290435-0B57B5 │ │ │ │ │ [tar's rmt command may have undesired side effects] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │
│ │ │ │ │ │ │ 57B5 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux │ CVE-2024-28085 │ HIGH │ fixed │ 2.36.1-8+deb11u1 │ 2.36.1-8+deb11u2 │ util-linux: CVE-2024-28085: wall: escape sequence injection │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28085 │
│ ├─────────────────────┼──────────┼──────────────┤ ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ LOW │ affected │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2023-45853 │ CRITICAL │ will_not_fix │ 1:1.2.11.dfsg-2+deb11u2 │ │ zlib: integer overflow and resultant heap-based buffer │
│ │ │ │ │ │ │ overflow in zipOpenNewFileInZip4_6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45853 │
└────────────────────┴─────────────────────┴──────────┴──────────────┴─────────────────────────┴──────────────────┴──────────────────────────────────────────────────────────────┘
usr/bin/promtail (gobinary)
Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)
┌──────────────────────────┬────────────────┬──────────┬────────┬──────────────────────┬─────────────────────────────┬────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────┼────────────────┼──────────┼────────┼──────────────────────┼─────────────────────────────┼────────────────────────────────────────────────────────────┤
│ github.com/docker/docker │ CVE-2024-29018 │ MEDIUM │ fixed │ v25.0.3+incompatible │ 26.0.0-rc3, 25.0.5, 23.0.11 │ moby: external DNS requests from 'internal' networks could │
│ │ │ │ │ │ │ lead to data exfiltration... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29018 │
└──────────────────────────┴────────────────┴──────────┴────────┴──────────────────────┴─────────────────────────────┴────────────────────────────────────────────────────────────┘
See also:
- https://github.com/grafana/loki/issues/6928#issue-1341197387
@taraspos Thanks for the heads up.
I agree, we should do different things there:
- update the Debian base image
- provide a separate Promtail image that is based on a minimalistic image. the reason we have Debian as base image is that Promtail supports the systemd journal scrape target, which is not available on Alpine.
