cloud-provider-openstack
cloud-provider-openstack copied to clipboard
Published
20 hours ago •
kubernetes
kubernetes
[cinder-csi-plugin] a lot of critical vulnerabilities on Cinder containers
Is this a BUG REPORT or FEATURE REQUEST?:
/kind bug
What happened:
running trivy on cinder csi containers repors 21 critical vulnerabilities (all being from the container itself), 55 high (1 from actual cinder csi code)
What you expected to happen:
Having the lowest possible number of vulnerabilities, especially critical and high
How to reproduce it:
trivy image docker.io/k8scloudprovider/cinder-csi-plugin:v1.25.0
Anything else we need to know?:
I was thiking on proposing to move to distroless but #1938 seems to indicate we need some binaries in the containers. I tried to look at code to see exactly which ones are needed but I couldn't find them :/
Environment:
docker.io/k8scloudprovider/cinder-csi-plugin:v1.25.0 (debian 10.5)
==================================================================
Total: 229 (UNKNOWN: 1, LOW: 110, MEDIUM: 42, HIGH: 55, CRITICAL: 21)
┌──────────────────────┬──────────────────┬──────────┬────────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2020-27350 │ MEDIUM │ 1.8.2.1 │ 1.8.2.2 │ apt: integer overflows and underflows while parsing .deb │
│ │ │ │ │ │ packages │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27350 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-3374 │ LOW │ │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ │ 8.30-3 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-18018 │ │ │ │ coreutils: race condition vulnerability in chown and chgrp │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ dpkg │ CVE-2022-1664 │ CRITICAL │ 1.19.7 │ 1.19.8 │ Dpkg::Source::Archive in dpkg, the Debian package management │
│ │ │ │ │ │ system, b ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1664 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ e2fsprogs │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ fdisk │ CVE-2021-37600 │ LOW │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-8-base │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │
│ │ │ │ │ │ function.c leads to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-34903 │ MEDIUM │ 2.2.12-1+deb10u1 │ 2.2.12-1+deb10u2 │ gpg: Signature spoofing via status line injection │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-34903 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-14855 │ LOW │ │ │ gnupg2: OpenPGP Key Certification Forgeries with SHA-1 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14855 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gzip │ CVE-2022-1271 │ HIGH │ 1.9-3 │ 1.9-3+deb10u1 │ gzip: arbitrary-file-write vulnerability │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1271 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg5.0 │ CVE-2020-27350 │ MEDIUM │ 1.8.2.1 │ 1.8.2.2 │ apt: integer overflows and underflows while parsing .deb │
│ │ │ │ │ │ packages │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27350 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-3374 │ LOW │ │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1 │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libbz2-1.0 │ DLA-3112-1 │ UNKNOWN │ 1.0.6-9.2~deb10u1 │ 1.0.6-9.2~deb10u2 │ bzip2 - bugfix update │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2021-33574 │ CRITICAL │ 2.28-10 │ │ glibc: mq_notify does not handle separately allocated thread │
│ │ │ │ │ │ attributes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33574 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-35942 │ │ │ │ glibc: Arbitrary read in wordexp() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35942 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23218 │ │ │ │ glibc: Stack-based buffer overflow in svcunix_create via │
│ │ │ │ │ │ long pathnames │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23218 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23219 │ │ │ │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │
│ │ │ │ │ │ a long pathname │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23219 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-1751 │ HIGH │ │ │ glibc: array overflow in backtrace functions for powerpc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1751 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-1752 │ │ │ │ glibc: use-after-free in glob() function when expanding │
│ │ │ │ │ │ ~user │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1752 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3326 │ │ │ │ glibc: Assertion failure in ISO-2022-JP-3 gconv module │
│ │ │ │ │ │ related to combining characters │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3326 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3999 │ │ │ │ glibc: Off-by-one buffer overflow/underflow in getcwd() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3999 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-25013 │ MEDIUM │ │ │ glibc: buffer over-read in iconv when processing invalid │
│ │ │ │ │ │ multi-byte input sequences in... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-25013 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10029 │ │ │ │ glibc: stack corruption from crafted input in cosl, sinl, │
│ │ │ │ │ │ sincosl, and tanl... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10029 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-27618 │ │ │ │ glibc: iconv when processing invalid multi-byte input │
│ │ │ │ │ │ sequences fails to advance the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27618 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-4756 │ LOW │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-10228 │ │ │ │ glibc: iconv program can hang when invoked with the -c │
│ │ │ │ │ │ option │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-10228 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ because of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19126 │ │ │ │ glibc: LD_PREFER_MAP_32BIT_EXEC not ignored in setuid │
│ │ │ │ │ │ binaries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19126 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-6096 │ │ │ │ glibc: signed comparison vulnerability in the ARMv7 memcpy │
│ │ │ │ │ │ function │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-6096 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-27645 │ │ │ │ glibc: Use-after-free in addgetnetgrentX function in │
│ │ │ │ │ │ netgroupcache.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27645 │
├──────────────────────┼──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2021-33574 │ CRITICAL │ │ │ glibc: mq_notify does not handle separately allocated thread │
│ │ │ │ │ │ attributes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33574 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-35942 │ │ │ │ glibc: Arbitrary read in wordexp() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35942 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23218 │ │ │ │ glibc: Stack-based buffer overflow in svcunix_create via │
│ │ │ │ │ │ long pathnames │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23218 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-23219 │ │ │ │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │
│ │ │ │ │ │ a long pathname │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23219 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-1751 │ HIGH │ │ │ glibc: array overflow in backtrace functions for powerpc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1751 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-1752 │ │ │ │ glibc: use-after-free in glob() function when expanding │
│ │ │ │ │ │ ~user │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1752 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3326 │ │ │ │ glibc: Assertion failure in ISO-2022-JP-3 gconv module │
│ │ │ │ │ │ related to combining characters │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3326 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3999 │ │ │ │ glibc: Off-by-one buffer overflow/underflow in getcwd() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3999 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-25013 │ MEDIUM │ │ │ glibc: buffer over-read in iconv when processing invalid │
│ │ │ │ │ │ multi-byte input sequences in... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-25013 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10029 │ │ │ │ glibc: stack corruption from crafted input in cosl, sinl, │
│ │ │ │ │ │ sincosl, and tanl... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10029 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-27618 │ │ │ │ glibc: iconv when processing invalid multi-byte input │
│ │ │ │ │ │ sequences fails to advance the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27618 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-4756 │ LOW │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-10228 │ │ │ │ glibc: iconv program can hang when invoked with the -c │
│ │ │ │ │ │ option │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-10228 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ because of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19126 │ │ │ │ glibc: LD_PREFER_MAP_32BIT_EXEC not ignored in setuid │
│ │ │ │ │ │ binaries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19126 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-6096 │ │ │ │ glibc: signed comparison vulnerability in the ARMv7 memcpy │
│ │ │ │ │ │ function │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-6096 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-27645 │ │ │ │ glibc: Use-after-free in addgetnetgrentX function in │
│ │ │ │ │ │ netgroupcache.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27645 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libcom-err2 │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3 │ CVE-2019-8457 │ CRITICAL │ 5.3.28+dfsg1-0.5 │ │ sqlite: heap out-of-bound read in function rtreenode() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat1 │ CVE-2022-40674 │ │ 2.2.6-2+deb10u4 │ │ libexpat before 2.4.9 has a use-after-free in the doContent │
│ │ │ │ │ │ function i ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-40674 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-0340 │ LOW │ │ │ expat: internal entity expansion │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0340 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libext2fs2 │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libfdisk1 │ CVE-2021-37600 │ LOW │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc1 │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │
│ │ │ │ │ │ function.c leads to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2021-33560 │ │ 1.8.4-5 │ │ libgcrypt: mishandles ElGamal encryption because it lacks │
│ │ │ │ │ │ exponent blinding to address a... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33560 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-13627 │ MEDIUM │ │ │ libgcrypt: ECDSA timing attack allowing private key leak │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-13627 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-40528 │ │ │ 1.8.4-5+deb10u1 │ libgcrypt: ElGamal implementation allows plaintext recovery │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-40528 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-6829 │ LOW │ │ │ libgcrypt: ElGamal implementation doesn't have semantic │
│ │ │ │ │ │ security due to incorrectly encoded plaintexts... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgmp10 │ CVE-2021-43618 │ HIGH │ 2:6.1.2+dfsg-4 │ 2:6.1.2+dfsg-4+deb10u1 │ gmp: Integer overflow and resultant buffer overflow via │
│ │ │ │ │ │ crafted input │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43618 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30 │ CVE-2021-20231 │ CRITICAL │ 3.6.7-4+deb10u5 │ 3.6.7-4+deb10u7 │ gnutls: Use after free in client key_share extension │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20231 │
│ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-20232 │ │ │ │ gnutls: Use after free in client_send_params in │
│ │ │ │ │ │ lib/ext/pre_shared_key.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20232 │
│ ├──────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-24659 │ HIGH │ │ │ gnutls: Heap buffer overflow in handshake with │
│ │ │ │ │ │ no_renegotiation alert sent │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-24659 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2509 │ │ │ 3.6.7-4+deb10u9 │ gnutls: Double free during gnutls_pkcs7_verify. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2509 │
│ ├──────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4209 │ MEDIUM │ │ │ GnuTLS: Null pointer dereference in MD_UPDATE │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4209 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-3389 │ LOW │ │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │
│ │ │ │ │ │ (BEAST) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libhogweed4 │ CVE-2021-20305 │ HIGH │ 3.4.1-1 │ 3.4.1-1+deb10u1 │ nettle: Out of bounds memory access in signature │
│ │ │ │ │ │ verification │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20305 │
│ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3580 │ │ │ │ nettle: Remote crash in RSA decryption via manipulated │
│ │ │ │ │ │ ciphertext │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3580 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libidn2-0 │ CVE-2019-12290 │ │ 2.0.5-1+deb10u1 │ │ GNU libidn2 before 2.2.0 fails to perform the roundtrip │
│ │ │ │ │ │ checks specifi ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12290 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblz4-1 │ CVE-2021-3520 │ CRITICAL │ 1.8.3-1 │ 1.8.3-1+deb10u1 │ lz4: memory corruption due to an integer overflow bug caused │
│ │ │ │ │ │ by memmove... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3520 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17543 │ LOW │ │ │ lz4: heap-based buffer overflow in LZ4_write32 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17543 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5 │ CVE-2022-1271 │ HIGH │ 5.2.4-1 │ 5.2.4-1+deb10u1 │ gzip: arbitrary-file-write vulnerability │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1271 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1 │ CVE-2021-37600 │ LOW │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6 │ CVE-2022-29458 │ HIGH │ 6.1+20181013-2+deb10u2 │ │ ncurses: segfaulting OOB read │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-39537 │ LOW │ │ │ ncurses: heap-based buffer overflow in _nc_captoinfo() in │
│ │ │ │ │ │ captoinfo.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39537 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libnettle6 │ CVE-2021-20305 │ HIGH │ 3.4.1-1 │ 3.4.1-1+deb10u1 │ nettle: Out of bounds memory access in signature │
│ │ │ │ │ │ verification │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20305 │
│ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3580 │ │ │ │ nettle: Remote crash in RSA decryption via manipulated │
│ │ │ │ │ │ ciphertext │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3580 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libp11-kit0 │ CVE-2020-29361 │ │ 0.23.15-2 │ 0.23.15-2+deb10u1 │ p11-kit: integer overflow when allocating memory for arrays │
│ │ │ │ │ │ or attributes and object... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29361 │
│ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-29363 │ │ │ │ p11-kit: out-of-bounds write in │
│ │ │ │ │ │ p11_rpc_buffer_get_byte_array_value function in │
│ │ │ │ │ │ rpc-message.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29363 │
│ ├──────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-29362 │ MEDIUM │ │ │ p11-kit: out-of-bounds read in p11_rpc_buffer_get_byte_array │
│ │ │ │ │ │ function in rpc-message.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-29362 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2020-14155 │ │ 2:8.39-12 │ │ pcre: Integer overflow when parsing callout numeric │
│ │ │ │ │ │ arguments │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14155 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-11164 │ LOW │ │ │ pcre: OP_KETRMAX feature in the match function in │
│ │ │ │ │ │ pcre_exec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-16231 │ │ │ │ pcre: self-recursive call in match() in pcre_exec.c leads to │
│ │ │ │ │ │ denial of service... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16231 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7245 │ │ │ │ pcre: stack-based buffer overflow write in │
│ │ │ │ │ │ pcre32_copy_substring │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7245 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7246 │ │ │ │ pcre: stack-based buffer overflow write in │
│ │ │ │ │ │ pcre32_copy_substring │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7246 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20838 │ │ │ │ pcre: Buffer over-read in JIT when UTF is disabled and \X │
│ │ │ │ │ │ or... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20838 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpython3.7-minimal │ CVE-2015-20107 │ CRITICAL │ 3.7.3-2+deb10u3 │ │ python(mailcap): findmatch() function does not sanitise the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10735 │ HIGH │ │ │ python: int() type in PyLong_FromString() does not limit │
│ │ │ │ │ │ amount of digits converting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10735 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3737 │ │ │ │ python: urllib: HTTP client possible infinite loop on a 100 │
│ │ │ │ │ │ Continue response... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3737 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │
│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3426 │ │ │ │ python: Information disclosure via pydoc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3426 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3733 │ │ │ │ python: urllib: Regular expression DoS in │
│ │ │ │ │ │ AbstractBasicAuthHandler │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3733 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │
│ │ │ │ │ │ response │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17522 │ LOW │ │ │ python: Command injection in Lib/webbrowser.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │
│ │ │ │ │ │ to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │
│ │ │ │ │ │ Lib/zipfile.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-27619 │ │ │ │ python: Unsafe use of eval() on data retrieved via HTTP in │
│ │ │ │ │ │ the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27619 │
├──────────────────────┼──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpython3.7-stdlib │ CVE-2015-20107 │ CRITICAL │ │ │ python(mailcap): findmatch() function does not sanitise the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10735 │ HIGH │ │ │ python: int() type in PyLong_FromString() does not limit │
│ │ │ │ │ │ amount of digits converting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10735 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3737 │ │ │ │ python: urllib: HTTP client possible infinite loop on a 100 │
│ │ │ │ │ │ Continue response... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3737 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │
│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3426 │ │ │ │ python: Information disclosure via pydoc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3426 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3733 │ │ │ │ python: urllib: Regular expression DoS in │
│ │ │ │ │ │ AbstractBasicAuthHandler │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3733 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │
│ │ │ │ │ │ response │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17522 │ LOW │ │ │ python: Command injection in Lib/webbrowser.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │
│ │ │ │ │ │ to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │
│ │ │ │ │ │ Lib/zipfile.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-27619 │ │ │ │ python: Unsafe use of eval() on data retrieved via HTTP in │
│ │ │ │ │ │ the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27619 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libseccomp2 │ CVE-2019-9893 │ │ 2.3.3-4 │ │ libseccomp: incorrect generation of syscall filters in │
│ │ │ │ │ │ libseccomp │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9893 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsepol1 │ CVE-2021-36084 │ │ 2.8-1 │ │ libsepol: use-after-free in __cil_verify_classperms() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36084 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36085 │ │ │ │ libsepol: use-after-free in __cil_verify_classperms() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36085 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36086 │ │ │ │ libsepol: use-after-free in cil_reset_classpermission() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36086 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36087 │ │ │ │ libsepol: heap-based buffer overflow in ebitmap_match_any() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36087 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1 │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsqlite3-0 │ CVE-2020-35527 │ CRITICAL │ 3.27.2-3+deb10u1 │ 3.27.2-3+deb10u2 │ sqlite: Out of bounds access during table rename │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35527 │
│ ├──────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-20223 │ │ │ │ An issue was found in fts5UnicodeTokenize() in │
│ │ │ │ │ │ ext/fts5/fts5_tokenize. ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20223 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19603 │ HIGH │ │ │ sqlite: mishandling of certain SELECT statements with │
│ │ │ │ │ │ non-existent VIEW can lead to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19603 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35525 │ │ │ 3.27.2-3+deb10u2 │ sqlite: Null pointer derreference in src/select.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35525 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19645 │ MEDIUM │ │ │ sqlite: infinite recursion via certain types of │
│ │ │ │ │ │ self-referential views in conjunction with... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19645 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19924 │ │ │ │ sqlite: incorrect sqlite3WindowRewrite() error handling │
│ │ │ │ │ │ leads to mishandling certain parser-tree rewriting │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19924 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13631 │ │ │ │ sqlite: Virtual table can be renamed into the name of one │
│ │ │ │ │ │ of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13631 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-45346 │ │ │ │ sqlite: crafted SQL query allows a malicious user to obtain │
│ │ │ │ │ │ sensitive information... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45346 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19244 │ LOW │ │ │ sqlite: allows a crash if a sub-select uses both DISTINCT │
│ │ │ │ │ │ and window... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19244 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-11656 │ │ │ │ sqlite: use-after-free in the ALTER TABLE implementation │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11656 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36690 │ │ │ │ ** DISPUTED ** A segmentation fault can occur in the │
│ │ │ │ │ │ sqlite3.exe comma... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36690 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-35737 │ │ │ │ sqlite: assertion failure via query when compiled with │
│ │ │ │ │ │ -DSQLITE_ENABLE_STAT4 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-35737 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libss2 │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2022-2097 │ MEDIUM │ 1.1.1n-0+deb10u3 │ │ openssl: AES OCB fails to encrypt some bytes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6 │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │
│ │ │ │ │ │ function.c leads to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2019-3843 │ │ 241-7~deb10u4 │ │ systemd: services with DynamicUser can create SUID/SGID │
│ │ │ │ │ │ binaries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3843 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-3844 │ │ │ │ systemd: services with DynamicUser can get new privileges │
│ │ │ │ │ │ and create SGID binaries... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3844 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-33910 │ MEDIUM │ │ 241-7~deb10u8 │ systemd: uncontrolled allocation on the stack in function │
│ │ │ │ │ │ unit_name_path_escape leads to crash... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33910 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3997 │ │ │ │ systemd: Uncontrolled recursion in systemd-tmpfiles when │
│ │ │ │ │ │ removing files │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3997 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4392 │ LOW │ │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20386 │ │ │ │ systemd: memory leak in button_open() in │
│ │ │ │ │ │ login/logind-button.c when udev events are received... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20386 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13776 │ │ │ │ systemd: Mishandles numerical usernames beginning with │
│ │ │ │ │ │ decimal digits or 0x followed by... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13776 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtasn1-6 │ CVE-2018-1000654 │ │ 4.13-3 │ │ libtasn1: Infinite loop in _asn1_expand_object_id(ptree) │
│ │ │ │ │ │ leads to memory exhaustion │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000654 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2022-29458 │ HIGH │ 6.1+20181013-2+deb10u2 │ │ ncurses: segfaulting OOB read │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-39537 │ LOW │ │ │ ncurses: heap-based buffer overflow in _nc_captoinfo() in │
│ │ │ │ │ │ captoinfo.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39537 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2019-3843 │ HIGH │ 241-7~deb10u8 │ │ systemd: services with DynamicUser can create SUID/SGID │
│ │ │ │ │ │ binaries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3843 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-3844 │ │ │ │ systemd: services with DynamicUser can get new privileges │
│ │ │ │ │ │ and create SGID binaries... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3844 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3997 │ MEDIUM │ │ │ systemd: Uncontrolled recursion in systemd-tmpfiles when │
│ │ │ │ │ │ removing files │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3997 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4392 │ LOW │ │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20386 │ │ │ │ systemd: memory leak in button_open() in │
│ │ │ │ │ │ login/logind-button.c when udev events are received... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20386 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13776 │ │ │ │ systemd: Mishandles numerical usernames beginning with │
│ │ │ │ │ │ decimal digits or 0x followed by... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13776 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1 │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1 │ CVE-2021-24031 │ MEDIUM │ 1.3.8+dfsg-3 │ 1.3.8+dfsg-3+deb10u1 │ zstd: adds read permissions to files while being compressed │
│ │ │ │ │ │ or uncompressed │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-24031 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-24032 │ │ │ 1.3.8+dfsg-3+deb10u2 │ zstd: Race condition allows attacker to access │
│ │ │ │ │ │ world-readable destination file │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-24032 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2007-5686 │ LOW │ 1:4.5-1.1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4235 │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ directory trees │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-7169 │ │ │ │ shadow-utils: newgidmap allows unprivileged user to drop │
│ │ │ │ │ │ supplementary groups potentially allowing privilege... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7169 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19882 │ │ │ │ shadow-utils: local users can obtain root access because │
│ │ │ │ │ │ setuid programs are misconfigured... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ mount │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2022-2097 │ MEDIUM │ 1.1.1n-0+deb10u3 │ │ openssl: AES OCB fails to encrypt some bytes │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2007-5686 │ │ 1:4.5-1.1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4235 │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ directory trees │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-7169 │ │ │ │ shadow-utils: newgidmap allows unprivileged user to drop │
│ │ │ │ │ │ supplementary groups potentially allowing privilege... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7169 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19882 │ │ │ │ shadow-utils: local users can obtain root access because │
│ │ │ │ │ │ setuid programs are misconfigured... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base │ CVE-2020-16156 │ HIGH │ 5.28.1-6+deb10u1 │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │
│ │ │ │ │ │ files │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2011-4116 │ LOW │ │ │ perl: File::Temp insecure temporary file handling │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ python3.7 │ CVE-2015-20107 │ CRITICAL │ 3.7.3-2+deb10u3 │ │ python(mailcap): findmatch() function does not sanitise the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10735 │ HIGH │ │ │ python: int() type in PyLong_FromString() does not limit │
│ │ │ │ │ │ amount of digits converting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10735 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3737 │ │ │ │ python: urllib: HTTP client possible infinite loop on a 100 │
│ │ │ │ │ │ Continue response... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3737 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │
│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3426 │ │ │ │ python: Information disclosure via pydoc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3426 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3733 │ │ │ │ python: urllib: Regular expression DoS in │
│ │ │ │ │ │ AbstractBasicAuthHandler │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3733 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │
│ │ │ │ │ │ response │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17522 │ LOW │ │ │ python: Command injection in Lib/webbrowser.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │
│ │ │ │ │ │ to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │
│ │ │ │ │ │ Lib/zipfile.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-27619 │ │ │ │ python: Unsafe use of eval() on data retrieved via HTTP in │
│ │ │ │ │ │ the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27619 │
├──────────────────────┼──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ python3.7-minimal │ CVE-2015-20107 │ CRITICAL │ │ │ python(mailcap): findmatch() function does not sanitise the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-10735 │ HIGH │ │ │ python: int() type in PyLong_FromString() does not limit │
│ │ │ │ │ │ amount of digits converting... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10735 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3737 │ │ │ │ python: urllib: HTTP client possible infinite loop on a 100 │
│ │ │ │ │ │ Continue response... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3737 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │
│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3426 │ │ │ │ python: Information disclosure via pydoc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3426 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3733 │ │ │ │ python: urllib: Regular expression DoS in │
│ │ │ │ │ │ AbstractBasicAuthHandler │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3733 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │
│ │ │ │ │ │ response │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17522 │ LOW │ │ │ python: Command injection in Lib/webbrowser.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │
│ │ │ │ │ │ to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │
│ │ │ │ │ │ Lib/zipfile.py │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-27619 │ │ │ │ python: Unsafe use of eval() on data retrieved via HTTP in │
│ │ │ │ │ │ the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27619 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ tar │ CVE-2005-2541 │ │ 1.30+dfsg-6 │ │ tar: does not properly warn the user when extracting setuid │
│ │ │ │ │ │ or setgid... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2005-2541 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9923 │ │ │ │ tar: null-pointer dereference in pax_decode_header in │
│ │ │ │ │ │ sparse.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9923 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-20193 │ │ │ │ tar: Memory leak in read_header() in list.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20193 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ udev │ CVE-2019-3843 │ HIGH │ 241-7~deb10u8 │ │ systemd: services with DynamicUser can create SUID/SGID │
│ │ │ │ │ │ binaries │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3843 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-3844 │ │ │ │ systemd: services with DynamicUser can get new privileges │
│ │ │ │ │ │ and create SGID binaries... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3844 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-3997 │ MEDIUM │ │ │ systemd: Uncontrolled recursion in systemd-tmpfiles when │
│ │ │ │ │ │ removing files │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3997 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4392 │ LOW │ │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20386 │ │ │ │ systemd: memory leak in button_open() in │
│ │ │ │ │ │ login/logind-button.c when udev events are received... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20386 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13776 │ │ │ │ systemd: Mishandles numerical usernames beginning with │
│ │ │ │ │ │ decimal digits or 0x followed by... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13776 │
├──────────────────────┼──────────────────┤ ├────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │
│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │
│ ├──────────────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────────┼──────────────────┼──────────┼────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2022-37434 │ CRITICAL │ 1:1.2.11.dfsg-1 │ 1:1.2.11.dfsg-1+deb10u2 │ zlib: a heap-based buffer over-read or buffer overflow in │
│ │ │ │ │ │ inflate in inflate.c... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37434 │
│ ├──────────────────┼──────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-25032 │ HIGH │ │ 1:1.2.11.dfsg-1+deb10u1 │ zlib: A flaw found in zlib when compressing (not │
│ │ │ │ │ │ decompressing) certain inputs... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-25032 │
└──────────────────────┴──────────────────┴──────────┴────────────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘
bin/cinder-csi-plugin (gobinary)
================================
Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2022-27664 │ HIGH │ v0.0.0-20220802222814-0bcc04d9c69b │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │
└──────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘
Thanks for reporting this, I didn't expect so much issues in base container ..
so from PR I think the bullseye-v1.4.2 is latest security enhanced image so you propose to use it? curious why the base debian has so many problems ...
-FROM k8s.gcr.io/build-image/debian-base-${DEBIAN_ARCH}:v2.1.3
+FROM k8s.gcr.io/build-image/debian-base-${DEBIAN_ARCH}:bullseye-v1.4.2
Hi @jichenjc , thanks for the comment.
Well, the base image used is 2 years old and so we've got a lot of found security issues since. So the issues were there but not discovered.
I can propose a patch later on to use renovate (or similar product) that would automate bumping this version.