Many vulnarabilities are reported while we use this image as BASE image for Ceph CSI
humblec opened this issue · comments
We use latest image hash of ceph in our ( ceph-csi github.com/ceph/ceph-csi) container build process and running the scanner against the build returns too many vulnarabilities . This has become an issue for many users and also for the secuirty reports generated on ceph csi image. We can not do anything to fix these issues in our image or iow, it has to be fixed here.
Can you consider this in prioirty and address these vulnarabilities?
A recent run report can be seen here:
quay.io/cephcsi/cephcsi:test (redhat 8.6)
=========================================
Total: 14 (UNKNOWN: 0, LOW: 1, MEDIUM: 12, HIGH: 1, CRITICAL: 0)
┌───────────────────────┬────────────────┬──────────┬──────────────────────────────────────┬────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├───────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ gnutls │ CVE-2022-2509 │ MEDIUM │ 3.6.16-5.el8 │ 3.6.16-5.el8_6 │ gnutls: Double free during gnutls_pkcs7_verify │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2509 │
├───────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libksba │ CVE-2022-3515 │ HIGH │ 1.3.5-7.el8 │ 1.3.5-8.el8_6 │ libksba: integer overflow may lead to remote code execution │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3515 │
├───────────────────────┼────────────────┼──────────┼──────────────────────────────────────┼────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ platform-python │ CVE-2015-20107 │ MEDIUM │ 3.6.8-47.el8 │ 3.6.8-47.el8_6 │ python: mailcap: findmatch() function does not sanitize the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
├───────────────────────┼────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ platform-python-devel │ CVE-2015-20107 │ │ │ │ python: mailcap: findmatch() function does not sanitize the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
├───────────────────────┼────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ python3-libs │ CVE-2015-20107 │ │ │ │ python: mailcap: findmatch() function does not sanitize the │
│ │ │ │ │ │ second argument │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0391 │ │ │ │ python: urllib.parse does not sanitize URLs containing ASCII │
│ │ │ │ │ │ newline and tabs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0391 │
├───────────────────────┼────────────────┤ ├──────────────────────────────────────┼────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ python3-scipy │ CVE-2021-20270 │ │ 1.0.0-21.module_el8.5.0+771+e5d9a225 │ 1.0.0-21.module+el8.5.0+10916+41bd434d │ python-pygments: Infinite loop in SML lexer may lead to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20270 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-27291 │ │ │ │ python-pygments: ReDoS in multiple lexers │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27291 │
├───────────────────────┼────────────────┤ ├──────────────────────────────────────┼────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ python36 │ CVE-2021-20270 │ │ 3.6.8-38.module_el8.5.0+895+a459eca8 │ 3.6.8-38.module+el8.5.0+12207+5c5719bc │ python-pygments: Infinite loop in SML lexer may lead to DoS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20270 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-27291 │ │ │ │ python-pygments: ReDoS in multiple lexers │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27291 │
├───────────────────────┼────────────────┤ ├──────────────────────────────────────┼────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ sqlite-libs │ CVE-2020-35527 │ │ 3.26.0-16.el8 │ 3.26.0-16.el8_6 │ sqlite: Out of bounds access during table rename │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35527 │
│ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-35525 │ LOW │ │ │ sqlite: Null pointer derreference in src/select.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-35525 │
└───────────────────────┴────────────────┴──────────┴──────────────────────────────────────┴────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘
Python (python-pkg)
===================
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 2)
┌───────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├───────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ joblib (PKG-INFO) │ CVE-2022-21797 │ CRITICAL │ 0.16.0 │ 1.2.0 │ The package joblib from 0 and before 1.2.0 are vulnerable to │
│ │ │ │ │ │ Arbitrary... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21797 │
├───────────────────────────────────────────────────┼────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ scikit-learn (scikit_learn-0.19.1-py3.6.egg-info) │ CVE-2020-13092 │ │ 0.19.1 │ 0.23.1 │ ** DISPUTED ** scikit-learn (aka sklearn) through 0.23.0 can │
│ │ │ │ │ │ unseriali ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13092 │
│ ├────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-28975 │ HIGH │ │ 0.24.dev0 │ ** DISPUTED ** svm_predict_values in svm.cpp in Libsvm v324, │
│ │ │ │ │ │ as used in... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28975 │
└───────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
Red Hat rebuilt the stream8 container, so rebuilding this one now should help...