Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

node-collector: CVE-2023-24538 ,CVE-2023-24540 #6704

Closed
chen-keinan opened this issue May 16, 2024 · 0 comments · Fixed by #6707
Closed

node-collector: CVE-2023-24538 ,CVE-2023-24540 #6704

chen-keinan opened this issue May 16, 2024 · 0 comments · Fixed by #6707
Assignees
@chen-keinan
Milestone
v0.52.0

Comments

@chen-keinan
Copy link
Contributor 

usr/local/bin/node-collector (gobinary)

Total: 36 (UNKNOWN: 0, LOW: 0, MEDIUM: 15, HIGH: 19, CRITICAL: 2)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │          Fixed Version           │                            Title                             │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net           │ CVE-2023-45288 │ MEDIUM   │ fixed  │ v0.17.0           │ 0.23.0                           │ golang: net/http, x/net/http2: unlimited number of           │
│                            │                │          │        │                   │                                  │ CONTINUATION frames causes DoS                               │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
├────────────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/protobuf │ CVE-2024-24786 │          │        │ v1.30.0           │ 1.33.0                           │ golang-protobuf: encoding/protojson, internal/encoding/json: │
│                            │                │          │        │                   │                                  │ infinite loop in protojson.Unmarshal when unmarshaling       │
│                            │                │          │        │                   │                                  │ certain forms of...                                          │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24786                   │
├────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                     │ CVE-2023-24538 │ CRITICAL │        │ 1.19.1            │ 1.19.8, 1.20.3                   │ golang: html/template: backticks not treated as string       │
│                            │                │          │        │                   │                                  │ delimiters                                                   │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24538                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-24540 │          │        │                   │ 1.19.9, 1.20.4                   │ golang: html/template: improper handling of JavaScript       │
│                            │                │          │        │                   │                                  │ whitespace                                                   │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24540                   │
│                            ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-2879  │ HIGH     │        │                   │ 1.18.7, 1.19.2                   │ golang: archive/tar: unbounded memory consumption when       │
│                            │                │          │        │                   │                                  │ reading headers                                              │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-2879                    │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-2880  │          │        │                   │                                  │ golang: net/http/httputil: ReverseProxy should not forward   │
│                            │                │          │        │                   │                                  │ unparseable query parameters                                 │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-2880                    │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41715 │          │        │                   │                                  │ golang: regexp/syntax: limit memory used by parsing regexps  │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41715                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41716 │          │        │                   │ 1.18.8, 1.19.3                   │ Due to unsanitized NUL values, attackers may be able to      │
│                            │                │          │        │                   │                                  │ maliciously se...                                            │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41716                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41720 │          │        │                   │ 1.18.9, 1.19.4                   │ golang: os, net/http: avoid escapes from os.DirFS and        │
│                            │                │          │        │                   │                                  │ http.Dir on Windows                                          │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41720                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41722 │          │        │                   │ 1.19.6, 1.20.1                   │ golang: path/filepath: path-filepath filepath.Clean path     │
│                            │                │          │        │                   │                                  │ traversal                                                    │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41722                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41723 │          │        │                   │                                  │ net/http, golang.org/x/net/http2: avoid quadratic complexity │
│                            │                │          │        │                   │                                  │ in HPACK decoding                                            │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41724 │          │        │                   │                                  │ golang: crypto/tls: large handshake records may cause panics │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41724                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41725 │          │        │                   │                                  │ golang: net/http, mime/multipart: denial of service from     │
│                            │                │          │        │                   │                                  │ excessive resource consumption                               │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41725                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-24534 │          │        │                   │ 1.19.8, 1.20.3                   │ golang: net/http, net/textproto: denial of service from      │
│                            │                │          │        │                   │                                  │ excessive memory allocation                                  │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24534                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-24536 │          │        │                   │                                  │ golang: net/http, net/textproto, mime/multipart: denial of   │
│                            │                │          │        │                   │                                  │ service from excessive resource consumption                  │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24536                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-24537 │          │        │                   │                                  │ golang: go/parser: Infinite loop in parsing                  │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24537                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-24539 │          │        │                   │ 1.19.9, 1.20.4                   │ golang: html/template: improper sanitization of CSS values   │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24539                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-29400 │          │        │                   │                                  │ golang: html/template: improper handling of empty HTML       │
│                            │                │          │        │                   │                                  │ attributes                                                   │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29400                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-29403 │          │        │                   │ 1.19.10, 1.20.5                  │ golang: runtime: unexpected behavior of setuid/setgid        │
│                            │                │          │        │                   │                                  │ binaries                                                     │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29403                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-39325 │          │        │                   │ 1.20.10, 1.21.3                  │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                            │                │          │        │                   │                                  │ excessive work (CVE-2023-44487)                              │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45283 │          │        │                   │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\    │
│                            │                │          │        │                   │                                  │ prefix as...                                                 │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45283                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45287 │          │        │                   │ 1.20.0                           │ golang: crypto/tls: Timing Side Channel attack in RSA based  │
│                            │                │          │        │                   │                                  │ TLS key exchanges....                                        │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45287                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45288 │          │        │                   │ 1.21.9, 1.22.2                   │ golang: net/http, x/net/http2: unlimited number of           │
│                            │                │          │        │                   │                                  │ CONTINUATION frames causes DoS                               │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
│                            ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2022-41717 │ MEDIUM   │        │                   │ 1.18.9, 1.19.4                   │ golang: net/http: excessive memory growth in a Go server     │
│                            │                │          │        │                   │                                  │ accepting HTTP/2 requests...                                 │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41717                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-24532 │          │        │                   │ 1.19.7, 1.20.2                   │ golang: crypto/internal/nistec: specific unreduced P-256     │
│                            │                │          │        │                   │                                  │ scalars produce incorrect results                            │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24532                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-29406 │          │        │                   │ 1.19.11, 1.20.6                  │ golang: net/http: insufficient sanitization of Host header   │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29406                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-29409 │          │        │                   │ 1.19.12, 1.20.7, 1.21.0-rc.4     │ golang: crypto/tls: slow verification of certificate chains  │
│                            │                │          │        │                   │                                  │ containing large RSA keys                                    │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29409                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-39318 │          │        │                   │ 1.20.8, 1.21.1                   │ golang: html/template: improper handling of HTML-like        │
│                            │                │          │        │                   │                                  │ comments within script contexts                              │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39318                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-39319 │          │        │                   │                                  │ golang: html/template: improper handling of special tags     │
│                            │                │          │        │                   │                                  │ within script contexts                                       │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39319                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-39326 │          │        │                   │ 1.20.12, 1.21.5                  │ golang: net/http/internal: Denial of Service (DoS) via       │
│                            │                │          │        │                   │                                  │ Resource Consumption via HTTP requests...                    │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39326                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45284 │          │        │                   │ 1.20.11, 1.21.4                  │ On Windows, The IsLocal function does not correctly detect   │
│                            │                │          │        │                   │                                  │ reserved de ......                                           │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45284                   │
│                            ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45289 │          │        │                   │ 1.21.8, 1.22.1                   │ golang: net/http/cookiejar: incorrect forwarding of          │
│                            │                │          │        │                   │                                  │ sensitive headers and cookies on HTTP redirect...            │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45289                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45290 │          │        │                   │                                  │ golang: net/http: memory exhaustion in                       │
│                            │                │          │        │                   │                                  │ Request.ParseMultipartForm                                   │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45290                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24783 │          │        │                   │                                  │ golang: crypto/x509: Verify panics on certificates with an   │
│                            │                │          │        │                   │                                  │ unknown public key algorithm...                              │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24783                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24784 │          │        │                   │                                  │ golang: net/mail: comments in display names are incorrectly  │
│                            │                │          │        │                   │                                  │ handled                                                      │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24784                   │
│                            ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24785 │          │        │                   │                                  │ golang: html/template: errors returned from MarshalJSON      │
│                            │                │          │        │                   │                                  │ methods may break template escaping                          │
│                            │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24785                   │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘```
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@chen-keinan chen-keinan

Labels
None yet
Projects
None yet
Milestone
v0.52.0
Development

Successfully merging a pull request may close this issue.

fix: node-collector high and critical cves chen-keinan/trivy
1 participant
@chen-keinan