apiserver-network-proxy
apiserver-network-proxy copied to clipboard
Published
20 hours ago •
kubernetes-sigs
kubernetes-sigs
New tag required v0.0.33 on account of merged PRs and CVE's
Hi @cheftako
It seems there are important PRs merged since the last tag to be considered for a new tag:
The following PR's have been merged
#371 from ncopa/go-1.17.12 #368 from cheftako/earlyReturn #369 from tallclair/warn-on-channel-limit #364 from rastislavs/fix-agent-conn-close #365 from rastislavs/fix-server-error-logs
Can I be involved in releasing a new tag or its something that falls on maintainers ?
It seems there are few HIGH CVE's in the latest master
proxy-agent (gobinary)
Total: 6 (LOW: 0, MEDIUM: 2, HIGH: 4, CRITICAL: 0)
┌─────────────────────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/prometheus/client_golang │ CVE-2022-21698 │ HIGH │ v1.7.1 │ 1.11.1 │ prometheus/client_golang: Denial of service using │
│ │ │ │ │ │ InstrumentHandlerCounter │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21698 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2021-33194 │ HIGH │ v0.0.0-20201110031124-69a78807bb2b │ 0.0.0-20210520170846-37e1c6afe023 │ golang: x/net/html: infinite loop in ParseFragment │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33194 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2021-44716 │ HIGH │ v0.0.0-20201110031124-69a78807bb2b │ 0.0.0-20211209124913-491a49abca63 │ golang: net/http:limit growth of header canonicalization │
│ │ │ │ │ │ cache │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44716 │
│ ├────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-31525 │ MEDIUM │ │ 0.0.0-20210428140749-89ef3d95e781 │ golang: net/http:panic in ReadRequest and ReadResponse when │
│ │ │ │ │ │ reading a very large... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-31525 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ v0.0.0-20201112073958-5cba982894dd │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text │ CVE-2021-38561 │ HIGH │ v0.3.4 │ 0.3.7 │ golang: out-of-bounds read in golang.org/x/text/language │
│ │ │ │ │ │ leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-38561 │
└─────────────────────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
proxy-server (gobinary)
Total: 8 (LOW: 0, MEDIUM: 2, HIGH: 6, CRITICAL: 0)
┌─────────────────────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/prometheus/client_golang │ CVE-2022-21698 │ HIGH │ v1.7.1 │ 1.11.1 │ prometheus/client_golang: Denial of service using │
│ │ │ │ │ │ InstrumentHandlerCounter │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21698 │
├─────────────────────────────────────┼────────────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ │ v0.0.0-20201002170205-7f63de1d35b0 │ 0.0.0-20201216223049-8b5274cf687f │ golang: crypto/ssh: crafted authentication request can lead │
│ │ │ │ │ │ to nil pointer dereference │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29652 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2022-27191 │ HIGH │ v0.0.0-20201002170205-7f63de1d35b0 │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │
├─────────────────────────────────────┼────────────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2021-33194 │ │ v0.0.0-20201110031124-69a78807bb2b │ 0.0.0-20210520170846-37e1c6afe023 │ golang: x/net/html: infinite loop in ParseFragment │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33194 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2021-44716 │ HIGH │ v0.0.0-20201110031124-69a78807bb2b │ 0.0.0-20211209124913-491a49abca63 │ golang: net/http:limit growth of header canonicalization │
│ │ │ │ │ │ cache │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44716 │
│ ├────────────────┼──────────┤ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-31525 │ MEDIUM │ │ 0.0.0-20210428140749-89ef3d95e781 │ golang: net/http:panic in ReadRequest and ReadResponse when │
│ │ │ │ │ │ reading a very large... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-31525 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ v0.0.0-20201112073958-5cba982894dd │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
├─────────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text │ CVE-2021-38561 │ HIGH │ v0.3.4 │ 0.3.7 │ golang: out-of-bounds read in golang.org/x/text/language │
│ │ │ │ │ │ leads to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-38561 │
└─────────────────────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
@cheftako
Since the go modules are updated and trivy not reporting any vulnerabilities in the latest master, coupled with other important PRs have been merged since the v0.0.32 tag, might we consider releasing a new tag ?
PR's merged since the last release
#381 from kinvolk/imran/go-mod-update #395 from tallclair/fe-dial-cls #385 from tallclair/request-context #363 from jnummelin/configurable-bind-addresses #391 from tallclair/test-race #390 from tallclair/keepalive-enforce #389 from tallclair/dial-err #386 from cheftako/SecondDialFail #384 from tallclair/agent-errors #380 from tallclair/caffeine #374 from tallclair/ha-test #371 from ncopa/go-1.17.12 #368 from cheftako/earlyReturn #369 from tallclair/warn-on-channel-limit #364 from rastislavs/fix-agent-conn-close #365 from rastislavs/fix-server-error-logs