wavefront-proxy icon indicating copy to clipboard operation
wavefront-proxy copied to clipboard

Published 20 hours ago verified publisher icon wavefrontHQ

fix: bump io.grpc.grpc-bom to 1.53.0 to address CVE-2023-1428

Open ajayk opened this issue 2 years ago • 1 comments

Before patch

pom.xml (pom)

Total: 4 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 2, CRITICAL: 0)

┌────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────┐
│        Library         │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                       Title                        │
├────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ com.squareup.okio:okio │ CVE-2023-3635  │ MEDIUM   │ fixed  │ 2.8.0             │ 3.4.0         │ okio: GzipSource class improper exception handling │
│                        │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-3635          │
├────────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ io.grpc:grpc-protobuf  │ CVE-2023-1428  │ HIGH     │        │ 1.46.0            │ 1.53.0        │ Reachable Assertion                                │
│                        │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-1428          │
│                        ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────┤
│                        │ CVE-2023-32731 │          │        │                   │               │ sensitive information disclosure                   │
│                        │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-32731         │
│                        ├────────────────┼──────────┤        │                   │               ├────────────────────────────────────────────────────┤
│                        │ CVE-2023-32732 │ MEDIUM   │        │                   │               │ denial of service                                  │
│                        │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-32732         │
└────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────┘

After Patch

pom.xml (pom)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)

┌────────────────────────┬───────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────┐
│        Library         │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │                       Title                        │
├────────────────────────┼───────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────┤
│ com.squareup.okio:okio │ CVE-2023-3635 │ MEDIUM   │ fixed  │ 2.8.0             │ 3.4.0         │ okio: GzipSource class improper exception handling │
│                        │               │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-3635          │
└────────────────────────┴───────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────┘

ajayk avatar Nov 15 '23 03:11 ajayk

@joannak-vmware @sbhakta-vmware : for review

ajayk avatar Nov 15 '23 19:11 ajayk