CVE security findings that need to be resolved #96
Description
Security findings found via Trivy when using that need to be resolved. Unsure if this should be reported here or upstream.
In summary there are 5 medium and 4 high CVE vulnerabilities that can be resolved with updated dependencies within iceberg-rest-image-all.jar
Note that this is with the following contents in build.gradle
ext {
icebergVersion = '1.5.2'
hadoopVersion = '3.4.0'
}
Total: 39 (UNKNOWN: 0, LOW: 33, MEDIUM: 6, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ LOW │ affected │ 8.32-4.1ubuntu1.2 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base │ CVE-2022-27943 │ │ │ 12.3.0-1ubuntu1~22.04 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ │ 2.2.27-3ubuntu2.1 │ │ gnupg: denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2016-20013 │ │ │ 2.35-0ubuntu3.7 │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┤ │ │ │ ├───────────────┤ │
│ libc6 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1 │ CVE-2022-27943 │ │ │ 12.3.0-1ubuntu1~22.04 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2024-2236 │ MEDIUM │ │ 1.9.4-3ubuntu3 │ │ libgcrypt: vulnerable to Marvin Attack │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2236 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2024-26462 │ │ │ 1.19.2-2ubuntu0.3 │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3 │ CVE-2024-26462 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3 │ CVE-2024-26462 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0 │ CVE-2024-26462 │ MEDIUM │ │ │ │ krb5: Memory leak at /krb5/src/kdc/ndr.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26462 │
│ ├────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ LOW │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ liblzma5 │ CVE-2020-22916 │ MEDIUM │ │ 5.2.5-2ubuntu1 │ │ Denial of service via decompression of crafted file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-22916 │
├──────────────────┼────────────────┼──────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6 │ CVE-2023-45918 │ LOW │ │ 6.3-2ubuntu0.1 │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6 │ CVE-2023-45918 │ │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ │ │ 2:8.39-13ubuntu0.22.04.1 │ │ pcre: OP_KETRMAX feature in the match function in │
│ │ │ │ │ │ │ pcre_exec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16 │ CVE-2022-3857 │ │ │ 1.6.37-3build5 │ │ libpng: Null pointer dereference leads to segmentation fault │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3857 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6 │ CVE-2022-27943 │ │ │ 12.3.0-1ubuntu1~22.04 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2023-7008 │ │ │ 249.11-0ubuntu3.12 │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2023-45918 │ │ │ 6.3-2ubuntu0.1 │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2023-7008 │ │ │ 249.11-0ubuntu3.12 │ │ systemd-resolved: Unsigned name response in signed zone is │
│ │ │ │ │ │ │ not refused when DNSSEC=yes... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7008 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1 │ CVE-2022-4899 │ │ │ 1.4.8+dfsg-3build1 │ │ zstd: mysql: buffer overrun in util.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4899 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ locales │ CVE-2016-20013 │ │ │ 2.35-0ubuntu3.7 │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2023-29383 │ │ │ 1:4.8.1-2ubuntu2.2 │ │ shadow: Improper input validation in shadow-utils package │
│ │ │ │ │ │ │ utility chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2023-45918 │ │ │ 6.3-2ubuntu0.1 │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin │ CVE-2023-45918 │ │ │ │ │ ncurses 6.4-20230610 has a NULL pointer dereference in │
│ │ │ │ │ │ │ tgetstr in tinf ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45918 │
│ ├────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-50495 │ │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
├──────────────────┼────────────────┤ │ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2023-29383 │ │ │ 1:4.8.1-2ubuntu2.2 │ │ shadow: Improper input validation in shadow-utils package │
│ │ │ │ │ │ │ utility chfn │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
└──────────────────┴────────────────┴──────────┴──────────┴──────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
2024-05-29T11:12:12-04:00 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Java (jar)
Total: 9 (UNKNOWN: 0, LOW: 0, MEDIUM: 5, HIGH: 4, CRITICAL: 0)
┌─────────────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ch.qos.logback:logback-classic (iceberg-rest-image-all.jar) │ CVE-2023-6378 │ HIGH │ fixed │ 1.2.10 │ 1.3.12, 1.4.12, 1.2.13 │ logback: serialization vulnerability in logback receiver │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6378 │
├─────────────────────────────────────────────────────────────┤ │ │ │ │ │ │
│ ch.qos.logback:logback-core (iceberg-rest-image-all.jar) │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.nimbusds:nimbus-jose-jwt (iceberg-rest-image-all.jar) │ CVE-2023-52428 │ MEDIUM │ │ 9.30.2 │ 9.37.2 │ Denial of Service in Connect2id Nimbus JOSE+JWT │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52428 │
├─────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http (iceberg-rest-image-all.jar) │ CVE-2024-29025 │ │ │ 4.1.100.Final │ 4.1.108.Final │ netty-codec-http: Allocation of Resources Without Limits or │
│ │ │ │ │ │ │ Throttling │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29025 │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-compress │ CVE-2024-25710 │ HIGH │ │ 1.24.0 │ 1.26.0 │ commons-compress: Denial of service caused by an infinite │
│ (iceberg-rest-image-all.jar) │ │ │ │ │ │ loop for a corrupted... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25710 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26308 │ │ │ │ │ commons-compress: OutOfMemoryError unpacking broken Pack200 │
│ │ │ │ │ │ │ file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26308 │
├─────────────────────────────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-configuration2 │ CVE-2024-29131 │ MEDIUM │ │ 2.8.0 │ 2.10.1 │ commons-configuration: StackOverflowError adding property in │
│ (iceberg-rest-image-all.jar) │ │ │ │ │ │ AbstractListDelimiterHandler.flattenIterator() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29131 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-29133 │ │ │ │ │ commons-configuration: StackOverflowError calling │
│ │ │ │ │ │ │ ListDelimiterHandler.flatten(Object, int) with a cyclical │
│ │ │ │ │ │ │ object tree │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29133 │
├─────────────────────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.zookeeper:zookeeper (iceberg-rest-image-all.jar) │ CVE-2024-23944 │ │ │ 3.8.3 │ 3.8.4, 3.9.2 │ Information disclosure in persistent watchers handling in │
│ │ │ │ │ │ │ Apache ZooKe ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-23944 │
└─────────────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘