litmus-go
litmus-go copied to clipboard
Published
20 hours ago •
litmuschaos
litmuschaos
Fixes Vulnerabilities on promql and crictl binaries used inside the experiment image.
Here is the trivy run that reports the issue in promql and crictl binaries.
usr/local/bin/crictl (gobinary)
===============================
Total: 4 (HIGH: 4, CRITICAL: 0)
┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108 │ HIGH │ fixed │ v0.35.0 │ 0.[46](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:47).0 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due │
│ rg/grpc/otelgrpc │ │ │ │ │ │ to unbound cardinality metrics │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-[47](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:48)108 │
├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/net/http/otelht- │ CVE-2023-45142 │ │ │ v0.35.1 │ 0.44.0 │ opentelemetry: DoS vulnerability in otelhttp │
│ tp │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45142 │
├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ │ │ v0.14.0 │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│ │ │ │ │ │ │ excessive work (CVE-2023-44[48](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:49)7) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │
├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │ │ │ v1.54.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │
└──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
usr/local/bin/promql (gobinary)
===============================
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH │ fixed │ v0.7.0 │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│ │ │ │ │ │ │ excessive work (CVE-2023-444[87](https://github.com/litmuschaos/litmus-go/actions/runs/8845410064/job/24289306759#step:5:88)) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │
└──────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
