https-portal
https-portal copied to clipboard
SteveLTN
CVEs in https-portal
Hi!
Unfortunately, there are a lot of critical cves in version 1.23.0.
Running trivy for https-portal...
Total: 11 (CRITICAL: 11)
┌──────────────────────┬────────────────┬──────────┬──────────────┬─────────────────────────┬──────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────┼────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ apache2-utils │ CVE-2024-38474 │ CRITICAL │ fixed │ 2.4.59-1~deb11u1 │ 2.4.61-1~deb11u1 │ httpd: Substitution encoding issue in mod_rewrite │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38474 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-38475 │ │ │ │ │ httpd: Improper escaping of output in mod_rewrite │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38475 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-38476 │ │ │ │ │ httpd: Security issues via backend applications whose │
│ │ │ │ │ │ │ response headers are malicious or exploitable... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38476 │
├──────────────────────┼────────────────┤ ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2023-23914 │ │ will_not_fix │ 7.74.0-1.3+deb11u11 │ │ curl: HSTS ignored on multiple requests │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23914 │
├──────────────────────┤ │ │ │ ├──────────────────┤ │
│ libcurl4 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┼────────────────┤ ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3 │ CVE-2019-8457 │ │ affected │ 5.3.28+dfsg1-0.8 │ │ sqlite: heap out-of-bound read in function rtreenode() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │
├──────────────────────┼────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpython3.9 │ CVE-2021-29921 │ │ │ 3.9.2-1 │ │ python-ipaddress: Improper input validation of octal strings │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29921 │
├──────────────────────┤ │ │ │ ├──────────────────┤ │
│ libpython3.9-minimal │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┤ │ │ │ ├──────────────────┤ │
│ libpython3.9-stdlib │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┼────────────────┤ │ ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ wget │ CVE-2024-38428 │ │ │ 1.21-1+deb11u1 │ │ wget: Misinterpretation of input may lead to improper │
│ │ │ │ │ │ │ behavior │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38428 │
├──────────────────────┼────────────────┤ ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2023-45853 │ │ will_not_fix │ 1:1.2.11.dfsg-2+deb11u2 │ │ zlib: integer overflow and resultant heap-based buffer │
│ │ │ │ │ │ │ overflow in zipOpenNewFileInZip4_6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45853 │
└──────────────────────┴────────────────┴──────────┴──────────────┴─────────────────────────┴──────────────────┴──────────────────────────────────────────────────────────────┘
@SteveLTN I tested it with version 1.24.1 and it seems there are new CVEs
trivy image --severity CRITICAL steveltn/https-portal:1.24.1
2024-12-05T15:54:41+01:00 INFO Vulnerability scanning is enabled
2024-12-05T15:54:41+01:00 INFO Secret scanning is enabled
2024-12-05T15:54:41+01:00 INFO If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2024-12-05T15:54:41+01:00 INFO Please see also https://aquasecurity.github.io/trivy/v0.52/docs/scanner/secret/#recommendation for faster secret detection
2024-12-05T15:54:44+01:00 INFO Detected OS family="debian" version="12.6"
2024-12-05T15:54:44+01:00 INFO [debian] Detecting vulnerabilities... os_version="12" pkg_num=216
2024-12-05T15:54:44+01:00 INFO Number of language-specific files num=1
2024-12-05T15:54:44+01:00 INFO [gobinary] Detecting vulnerabilities...
steveltn/https-portal:1.24.1 (debian 12.6)
Total: 6 (CRITICAL: 6)
┌───────────┬────────────────┬──────────┬──────────────┬───────────────────┬─────────────────┬────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────┼────────────────┼──────────┼──────────────┼───────────────────┼─────────────────┼────────────────────────────────────────────────────────┤
│ libaom3 │ CVE-2023-6879 │ CRITICAL │ affected │ 3.6.0-1 │ │ aom: heap-buffer-overflow on frame size change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6879 │
│ ├────────────────┤ ├──────────────┤ ├─────────────────┼────────────────────────────────────────────────────────┤
│ │ CVE-2024-5171 │ │ fixed │ │ 3.6.0-1+deb12u1 │ libaom: Integer overflow in internal │
│ │ │ │ │ │ │ function img_alloc_helper │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5171 │
├───────────┼────────────────┤ │ ├───────────────────┼─────────────────┼────────────────────────────────────────────────────────┤
│ libexpat1 │ CVE-2024-45491 │ │ │ 2.5.0-1 │ 2.5.0-1+deb12u1 │ libexpat: Integer Overflow or Wraparound │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45491 │
│ ├────────────────┤ │ │ │ ├────────────────────────────────────────────────────────┤
│ │ CVE-2024-45492 │ │ │ │ │ libexpat: integer overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45492 │
├───────────┼────────────────┤ ├──────────────┼───────────────────┼─────────────────┼────────────────────────────────────────────────────────┤
│ wget │ CVE-2024-38428 │ │ affected │ 1.21.3-1+b2 │ │ wget: Misinterpretation of input may lead to improper │
│ │ │ │ │ │ │ behavior │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38428 │
├───────────┼────────────────┤ ├──────────────┼───────────────────┼─────────────────┼────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2023-45853 │ │ will_not_fix │ 1:1.2.13.dfsg-1 │ │ zlib: integer overflow and resultant heap-based buffer │
│ │ │ │ │ │ │ overflow in zipOpenNewFileInZip4_6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45853 │
└───────────┴────────────────┴──────────┴──────────────┴───────────────────┴─────────────────┴────────────────────────────────────────────────────────┘
usr/bin/docker-gen (gobinary)
Total: 2 (CRITICAL: 2)
┌──────────────────────────┬────────────────┬──────────┬────────┬──────────────────────┬─────────────────────────────────┬────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────┼────────────────┼──────────┼────────┼──────────────────────┼─────────────────────────────────┼────────────────────────────────────────────────────────────┤
│ github.com/docker/docker │ CVE-2024-41110 │ CRITICAL │ fixed │ v25.0.5+incompatible │ 23.0.15, 26.1.5, 27.1.1, 25.0.6 │ moby: Authz zero length regression │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-41110 │
├──────────────────────────┼────────────────┤ │ ├──────────────────────┼─────────────────────────────────┼────────────────────────────────────────────────────────────┤
│ stdlib │ CVE-2024-24790 │ │ │ 1.21.10 │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │
│ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │
└──────────────────────────┴────────────────┴──────────┴────────┴──────────────────────┴─────────────────────────────────┴────────────────────────────────────────────────────────────┘
