reactive-tech / kubegres

Kubegres is a Kubernetes operator allowing to deploy one or many clusters of PostgreSql instances and manage databases replication, failover and backup.

Home Page:https://www.kubegres.io

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

CVEs in 1.16 version

sergicastro opened this issue · comments

Found the following critical and high CVEs in the last release version (1.16).

It would be nice to fix them and release a new version soon.

┌────────────────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│            Library             │ Vulnerability  │ Severity │         Installed Version          │           Fixed Version           │                            Title                            │
├────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ github.com/emicklei/go-restful │ CVE-2022-1996  │ CRITICAL │ v2.9.5+incompatible                │ 2.16.0+incompatible               │ Authorization Bypass Through User-Controlled Key            │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-1996                   │
├────────────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto            │ CVE-2022-27191 │ HIGH     │ v0.0.0-20220214200702-86341886e292 │ 0.0.0-20220314234659-1baeb1ce4c0b │ crash in a golang.org/x/crypto/ssh server                   │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27191                  │
├────────────────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/net               │ CVE-2022-27664 │          │ v0.0.0-20220127200216-cd36cc0744dd │ 0.0.0-20220906165146-f3363e06e74c │ handle server errors after sending GOAWAY                   │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-27664                  │
│                                ├────────────────┤          │                                    ├───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                │ CVE-2022-41723 │          │                                    │ 0.7.0                             │ avoid quadratic complexity in HPACK decoding                │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-41723                  │
├────────────────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ golang.org/x/text              │ CVE-2022-32149 │          │ v0.3.7                             │ 0.3.8                             │ ParseAcceptLanguage takes a long time to parse complex tags │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-32149                  │
├────────────────────────────────┼────────────────┤          ├────────────────────────────────────┼───────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ gopkg.in/yaml.v3               │ CVE-2022-28948 │          │ v3.0.0-20210107192922-496545a6307b │ 3.0.0-20220521103104-8f96da9f5d5e │ crash when attempting to deserialize invalid input          │
│                                │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-28948                  │
└────────────────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴─────────────────────────────────────────────────────────────┘

A new release of Kubegres is available. It was upgraded to use the latest available libraries:
https://github.com/reactive-tech/kubegres/releases/tag/v1.17