目的
SBOM周りの理解を深めます。
最近、SBOMと言うキーワードはよく目にしますので、SBOM情報が取れるTrivyを検証してみます。
手段
パブリックな Container Image をスキャンして、SBOM 情報を確認します。
SBOMとは
SBOM(Software Bill of Materials、ソフトウェア部品表)とは、製品に含むソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表です。OSS(Open Source Software)のライセンス管理や脆弱性の管理、ソフトウェアサプライチェーンのリスク管理等の用途で利用されます
引用元
上記引用元は綺麗に纏まっています。要するに、ソフトウェア部品表です。
例えば、特定の製品に含まれるソフトウェアを構成するコンポーネントや依存関係・ライセンスをリスト化した一覧表になります。「車輪の再発明」は有名な言葉ですが、開発でOSS/ライブラリを活用しまくることで、製品に含まれる一独自ソースコードは一部になります。
そのため、活用している OSS やライブラリ等のライセンス・脆弱性管理をちゃんとしましょうという流れです。
Solarwinds事件は世の中でSBOMと良く言われるようになった象徴的な事件ですね。
Trivyとは
TrivyはOSSの包括的で多彩なセキュリティスキャナーです。
スキャン対象は以下の通り。
- Container Image
- Filesystem
- Git Repository(remote)
- Virtual Machine Image
- Kubernetes
- AWS
スキャン内容は以下の通り。
- OS packages and software dependencies in use(SBOM)
- Known vulnerabilities(CVEs)
- IaC issues and misconfigurations
- Sensitive information and secrets
- Software licenses
ソフトウェア配布方式は以下の通り。
brew install trivydocker run aquasec/trivy- Download binary
公式ドキュメント
とりあえず動かしてみる
今回は dockerhub 上で公開されている nginx:latest をスキャンしてみます。
# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
nginx latest 448a08f1d2f9 2 weeks ago 142MB
aquasec/trivy latest 76074e0542a3 3 weeks ago 207MB
約200MBでした。続いて、実行してみます。
Usage
Usage:
trivy [global flags] command [flags] target
trivy [command]
Examples:
# Scan a container image
$ trivy image python:3.4-alpine
# Scan a container image from a tar archive
$ trivy image --input ruby-3.1.tar
# Scan local filesystem
$ trivy fs .
# Run in server mode
$ trivy server
Available Commands:
aws [EXPERIMENTAL] Scan AWS account
completion Generate the autocompletion script for the specified shell
config Scan config files for misconfigurations
filesystem Scan local filesystem
help Help about any command
image Scan a container image
kubernetes [EXPERIMENTAL] Scan kubernetes cluster
module Manage modules
plugin Manage plugins
repository Scan a remote repository
rootfs Scan rootfs
sbom Scan SBOM for vulnerabilities
server Server mode
version Print the version
vm [EXPERIMENTAL] Scan a virtual machine image
Flags:
--cache-dir string cache directory (default "/root/.cache/trivy")
-c, --config string config path (default "trivy.yaml")
-d, --debug debug mode
-f, --format string version format (json)
--generate-default-config write the default config to trivy-default.yaml
-h, --help help for trivy
--insecure allow insecure server connections
-q, --quiet suppress progress bar and log output
--timeout duration timeout (default 5m0s)
-v, --version show version
Use "trivy [command] --help" for more information about a command.
docker run aquasec/trivy:latest image nginx:latest
nginx:latest (debian 11.7)
==========================
Total: 143 (UNKNOWN: 0, LOW: 91, MEDIUM: 20, HIGH: 27, CRITICAL: 5)
┌──────────────────┬──────────────────┬──────────┬─────────────────────────┬───────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ CVE-2022-3715 │ HIGH │ 5.1-2+deb11u1 │ │ a heap-buffer-overflow in valid_parameter_transform │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3715 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2022-0563 │ LOW │ 1:2.36.1-8+deb11u1 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ │ 8.32-4+b1 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-18018 │ │ │ │ coreutils: race condition vulnerability in chown and chgrp │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2023-23914 │ CRITICAL │ 7.74.0-1.3+deb11u7 │ │ HSTS ignored on multiple requests │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23914 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27536 │ │ │ │ GSS delegation too eager connection re-use │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27536 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-42916 │ HIGH │ │ │ curl: HSTS bypass via IDN │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42916 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-43551 │ │ │ │ curl: HSTS bypass via IDN │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-43551 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27533 │ │ │ │ TELNET option IAC injection │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27533 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27534 │ │ │ │ SFTP path ~ resolving discrepancy │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27534 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27535 │ │ │ │ FTP too eager connection reuse │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27535 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-23915 │ MEDIUM │ │ │ HSTS amnesia with --parallel │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23915 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27538 │ │ │ │ SSH connection too eager reuse still │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27538 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28321 │ │ │ │ IDN wildcard match may lead to Improper Cerificate │
│ │ │ │ │ │ Validation │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28321 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28322 │ │ │ │ more POST-after-PUT confusion │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28322 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-22922 │ LOW │ │ │ curl: Content not matching hash in Metalink is not being │
│ │ │ │ │ │ discarded │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22922 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-22923 │ │ │ │ curl: Metalink download sends credentials │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22923 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28320 │ │ │ │ siglongjmp race condition may lead to crash │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28320 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ e2fsprogs │ CVE-2022-1304 │ HIGH │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ LOW │ 2.2.27-2+deb11u2 │ │ gnupg: denial of service issue (resource consumption) using │
│ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0 │ CVE-2011-3374 │ │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1 │ CVE-2022-0563 │ │ 2.36.1-8+deb11u1 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2010-4756 │ │ 2.31-13+deb11u6 │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ because of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├──────────────────┼──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2010-4756 │ │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ because of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libcom-err2 │ CVE-2022-1304 │ HIGH │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4 │ CVE-2023-23914 │ CRITICAL │ 7.74.0-1.3+deb11u7 │ │ HSTS ignored on multiple requests │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23914 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27536 │ │ │ │ GSS delegation too eager connection re-use │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27536 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-42916 │ HIGH │ │ │ curl: HSTS bypass via IDN │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-42916 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-43551 │ │ │ │ curl: HSTS bypass via IDN │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-43551 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27533 │ │ │ │ TELNET option IAC injection │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27533 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27534 │ │ │ │ SFTP path ~ resolving discrepancy │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27534 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27535 │ │ │ │ FTP too eager connection reuse │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27535 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-23915 │ MEDIUM │ │ │ HSTS amnesia with --parallel │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23915 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27538 │ │ │ │ SSH connection too eager reuse still │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27538 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28321 │ │ │ │ IDN wildcard match may lead to Improper Cerificate │
│ │ │ │ │ │ Validation │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28321 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28322 │ │ │ │ more POST-after-PUT confusion │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28322 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-22922 │ LOW │ │ │ curl: Content not matching hash in Metalink is not being │
│ │ │ │ │ │ discarded │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22922 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-22923 │ │ │ │ curl: Metalink download sends credentials │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22923 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28320 │ │ │ │ siglongjmp race condition may lead to crash │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28320 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libdb5.3 │ CVE-2019-8457 │ CRITICAL │ 5.3.28+dfsg1-0.8 │ │ sqlite: heap out-of-bound read in function rtreenode() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat1 │ CVE-2013-0340 │ LOW │ 2.2.10-2+deb11u5 │ │ expat: internal entity expansion │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0340 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libext2fs2 │ CVE-2022-1304 │ HIGH │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libfreetype6 │ CVE-2023-2004 │ │ 2.10.4+dfsg-1+deb11u1 │ │ integer overflowin in tt_hvadvance_adjust() in │
│ │ │ │ │ │ src/truetype/ttgxvar.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2004 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-31782 │ LOW │ │ │ ftbench.c in FreeType Demo Programs through 2.12.1 has a │
│ │ │ │ │ │ heap-based bu ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-31782 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2021-33560 │ HIGH │ 1.8.7-6 │ │ libgcrypt: mishandles ElGamal encryption because it lacks │
│ │ │ │ │ │ exponent blinding to address a... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33560 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-6829 │ LOW │ │ │ libgcrypt: ElGamal implementation doesn't have semantic │
│ │ │ │ │ │ security due to incorrectly encoded plaintexts... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libgd3 │ CVE-2021-38115 │ MEDIUM │ 2.3.0-2 │ │ read_header_tga in gd_tga.c in the GD Graphics Library (aka │
│ │ │ │ │ │ LibGD) thr ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-38115 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-40812 │ │ │ │ The GD Graphics Library (aka LibGD) through 2.3.2 has an │
│ │ │ │ │ │ out-of-bounds ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-40812 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-40145 │ LOW │ │ │ gdImageGd2Ptr in gd_gd2.c in the GD Graphics Library (aka │
│ │ │ │ │ │ LibGD) throu ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-40145 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30 │ CVE-2011-3389 │ │ 3.7.1-5+deb11u3 │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │
│ │ │ │ │ │ (BEAST) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2018-5709 │ │ 1.18.3-6+deb11u3 │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libjbig0 │ CVE-2017-9937 │ │ 2.1-3.1+b2 │ │ libtiff: memory malloc failure in tif_jbig.c could cause │
│ │ │ │ │ │ DOS. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-9937 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libjpeg62-turbo │ CVE-2021-46822 │ MEDIUM │ 1:2.0.6-4 │ │ libjpeg-turbo: heap buffer overflow in get_word_rgb_row() in │
│ │ │ │ │ │ rdppm.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-46822 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3 │ CVE-2018-5709 │ LOW │ 1.18.3-6+deb11u3 │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
├──────────────────┤ │ │ ├───────────────────┤ │
│ libkrb5-3 │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
├──────────────────┤ │ │ ├───────────────────┤ │
│ libkrb5support0 │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.4-2 │ CVE-2015-3276 │ │ 2.4.57+dfsg-3+deb11u1 │ │ incorrect multi-keyword mode cipherstring parsing │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3276 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-14159 │ │ │ │ openldap: Privilege escalation via PID file manipulation │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-14159 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17740 │ │ │ │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │
│ │ │ │ │ │ stack buffer allowing remote attackers to cause... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17740 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-15719 │ │ │ │ openldap: Certificate validation incorrectly matches name │
│ │ │ │ │ │ against CN-ID │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15719 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1 │ CVE-2022-0563 │ │ 2.36.1-8+deb11u1 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ │ 2:8.39-13 │ │ pcre: OP_KETRMAX feature in the match function in │
│ │ │ │ │ │ pcre_exec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-16231 │ │ │ │ pcre: self-recursive call in match() in pcre_exec.c leads to │
│ │ │ │ │ │ denial of service... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16231 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7245 │ │ │ │ pcre: stack-based buffer overflow write in │
│ │ │ │ │ │ pcre32_copy_substring │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7245 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-7246 │ │ │ │ pcre: stack-based buffer overflow write in │
│ │ │ │ │ │ pcre32_copy_substring │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7246 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20838 │ │ │ │ pcre: Buffer over-read in JIT when UTF is disabled and \X │
│ │ │ │ │ │ or... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20838 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16 │ CVE-2019-6129 │ │ 1.6.37-3 │ │ libpng: memory leak of png_info struct in pngcp.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-6129 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-4214 │ │ │ │ libpng: hardcoded value leads to heap-overflow │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4214 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libsepol1 │ CVE-2021-36084 │ │ 3.1-1 │ │ libsepol: use-after-free in __cil_verify_classperms() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36084 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36085 │ │ │ │ libsepol: use-after-free in __cil_verify_classperms() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36085 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36086 │ │ │ │ use-after-free in cil_reset_classpermission() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36086 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-36087 │ │ │ │ libsepol: heap-based buffer overflow in ebitmap_match_any() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36087 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1 │ CVE-2022-0563 │ │ 2.36.1-8+deb11u1 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libss2 │ CVE-2022-1304 │ HIGH │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-0464 │ │ 1.1.1n-0+deb11u4 │ │ Denial of service by excessive resource usage in verifying │
│ │ │ │ │ │ X509 policy constraints... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-0465 │ MEDIUM │ │ │ Invalid certificate policies in leaf certificates are │
│ │ │ │ │ │ silently ignored │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-0466 │ │ │ │ Certificate policy check not enabled │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0466 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2013-4392 │ │ 247.3-7+deb11u2 │ │ TOCTOU race condition when updating file permissions and │
│ │ │ │ │ │ SELinux security contexts │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libtiff5 │ CVE-2023-2731 │ MEDIUM │ 4.2.0-1+deb11u4 │ │ null pointer deference in LZWDecode() in libtiff/tif_lzw.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2731 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-30086 │ │ │ │ Heap buffer overflow in tiffcp() at tiffcp.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-30086 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-30774 │ │ │ │ heap buffer overflow issues related to TIFFTAG_INKNAMES and │
│ │ │ │ │ │ related TIFFTAG_NUMBEROFINKS value │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-30774 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2014-8130 │ LOW │ │ │ libtiff: divide by zero in the tiffdither tool │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2014-8130 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-16232 │ │ │ │ libtiff: Memory leaks in tif_open.c, tif_lzw.c, and │
│ │ │ │ │ │ tif_aux.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16232 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17973 │ │ │ │ libtiff: heap-based use after free in │
│ │ │ │ │ │ tiff2pdf.c:t2p_writeproc │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17973 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-5563 │ │ │ │ libtiff: Heap-buffer overflow in LZWEncode tif_lzw.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-5563 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-9117 │ │ │ │ libtiff: Heap-based buffer over-read in bmp2tiff │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-9117 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-10126 │ │ │ │ libtiff: NULL pointer dereference in the jpeg_fdct_16x16 │
│ │ │ │ │ │ function in jfdctint.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10126 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1056 │ │ │ │ Out-of-bounds Read error in tiffcrop in libtiff 4.3.0 allows │
│ │ │ │ │ │ attackers ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1056 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1210 │ │ │ │ tiff: Malicious file leads to a denial of service in TIFF │
│ │ │ │ │ │ File... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1210 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-1916 │ │ │ │ out-of-bounds read in extractImageSection() in │
│ │ │ │ │ │ tools/tiffcrop.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-1916 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-30775 │ │ │ │ Heap buffer overflow in extractContigSamples32bits, │
│ │ │ │ │ │ tiffcrop.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-30775 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2023-29491 │ HIGH │ 6.2+20201114-2+deb11u1 │ │ Local users can trigger security-relevant memory corruption │
│ │ │ │ │ │ via malformed data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29491 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2013-4392 │ LOW │ 247.3-7+deb11u2 │ │ TOCTOU race condition when updating file permissions and │
│ │ │ │ │ │ SELinux security contexts │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │
│ │ │ │ │ │ cause a system running the... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1 │ CVE-2022-0563 │ │ 2.36.1-8+deb11u1 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libwebp6 │ CVE-2023-1999 │ HIGH │ 0.6.1-2.1 │ 0.6.1-2.1+deb11u1 │ Double-free in libwebp │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-1999 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9085 │ LOW │ │ │ libwebp: Several integer overflows │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9085 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2 │ CVE-2016-3709 │ MEDIUM │ 2.9.10+dfsg-6.7+deb11u4 │ │ libxml2: Incorrect server side include parsing can lead to │
│ │ │ │ │ │ XSS │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-3709 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libxslt1.1 │ CVE-2015-9019 │ LOW │ 1.1.34-4+deb11u1 │ │ libxslt: math.random() in xslt uses unseeded randomness │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-9019 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1 │ CVE-2022-4899 │ HIGH │ 1.4.8+dfsg-2.1 │ │ buffer overrun in util.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4899 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2007-5686 │ LOW │ 1:4.8.1-1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4235 │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ directory trees │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19882 │ │ │ │ shadow-utils: local users can obtain root access because │
│ │ │ │ │ │ setuid programs are misconfigured... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ chfn │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ logsave │ CVE-2022-1304 │ HIGH │ 1.46.2-2 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ mount │ CVE-2022-0563 │ LOW │ 2.36.1-8+deb11u1 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2023-29491 │ HIGH │ 6.2+20201114-2+deb11u1 │ │ Local users can trigger security-relevant memory corruption │
│ │ │ │ │ │ via malformed data │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29491 │
├──────────────────┤ │ │ ├───────────────────┤ │
│ ncurses-bin │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ nginx │ CVE-2020-36309 │ MEDIUM │ 1.23.4-1~bullseye │ │ ngx_http_lua_module (aka lua-nginx-module) before 0.10.16 in │
│ │ │ │ │ │ OpenResty ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36309 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2009-4487 │ LOW │ │ │ nginx: Absent sanitation of escape sequences in web server │
│ │ │ │ │ │ log │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2009-4487 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-0337 │ │ │ │ The default configuration of nginx, possibly 1.3.13 and │
│ │ │ │ │ │ earlier, uses ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0337 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2023-0464 │ HIGH │ 1.1.1n-0+deb11u4 │ │ Denial of service by excessive resource usage in verifying │
│ │ │ │ │ │ X509 policy constraints... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-0465 │ MEDIUM │ │ │ Invalid certificate policies in leaf certificates are │
│ │ │ │ │ │ silently ignored │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-0466 │ │ │ │ Certificate policy check not enabled │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0466 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │
├──────────────────┼──────────────────┤ ├─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2007-5686 │ │ 1:4.8.1-1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-4235 │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │
│ │ │ │ │ │ directory trees │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-19882 │ │ │ │ shadow-utils: local users can obtain root access because │
│ │ │ │ │ │ setuid programs are misconfigured... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-29383 │ │ │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ chfn │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base │ CVE-2020-16156 │ HIGH │ 5.32.1-4+deb11u2 │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │
│ │ │ │ │ │ files │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │
│ ├──────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31484 │ │ │ │ CPAN.pm before 2.35 does not verify TLS certificates when │
│ │ │ │ │ │ downloading ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │
│ ├──────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────────┤
Library 毎に脆弱性が一覧表示されます。運用ポリシーに合わせて Severity 毎に判断・対処していく形になるかと思います。
脆弱性は確認できましたので、続いて肝心の SBOM を確認してみたいと思います。
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image --format cyclonedx nginx:latest -o nginx-cyclonedx.json
-- result --
2023-06-07T04:45:09.820Z INFO "--format cyclonedx" disables security scanning. Specify "--scanners vuln" explicitly if you want to include vulnerabilities in the CycloneDX report.
sdpx 形式の SBOM 結果から企業利用でライセンス違反有無を確認します。
とりあえず、JSON 形式で出力 → excel インポートして一つずつ判断していく感じでしょうか...
※ GPL + xxx など、派生形のライセンスが多すぎますね...
Trivyチートシート
- コンテナイメージに対して脆弱性をテーブル形式で出力
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image nginx:latest
-- result --
nginx:latest (debian 11.7)
==========================
Total: 144 (UNKNOWN: 0, LOW: 90, MEDIUM: 16, HIGH: 33, CRITICAL: 5)
┌──────────────────┬──────────────────┬──────────┬─────────────────────────┬───────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
-- snip --
-
-fオプションで出力形式を指定可能(Table,JSON,SARIF,Template)
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image -f json nginx:latest
-- result --
{
"SchemaVersion": 2,
"ArtifactName": "nginx:latest",
"ArtifactType": "container_image",
"Metadata": {
"OS": {
"Family": "debian",
"Name": "11.7"
},
"ImageID": "sha256:448a08f1d2f94e8db6db9286fd77a3a4f3712786583720a12f1648abb8cace25",
"DiffIDs": [
"sha256:8553b91047dad45bedc292812586f1621e0a464a09a7a7c2ce6ac5f8ba2535d7",
"sha256:a29cc9587af6488ae0cbb962ecbe023d347908cc62ca5d715af06e54ccaa9e36",
"sha256:6bc8ae8fb3cf0909b3d9c2e74f6cabe16e6a2322c52cec76fbaecaef47006f1d",
"sha256:5684be535bf11cb9ad1a57b51085f36d84ae8361eabc2b4c2ba9a83e8b084b20",
"sha256:93ee76f39c974e4f819e632149c002d6f509aadc5995ec6523a96b337751c8ed",
"sha256:1040838fe30e6f26d31bde96c514f47ee4bf727b3f1c3c7b045ea3891c1c2150"
-- snip --
-
--dependency-treeオプションでライブラリ依存関係をtree形式で出力可能
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image --dependency-tree nginx:latest|
-- result --
Dependency Origin Tree (Reversed)
=================================
nginx:latest (debian 11.7)
├── apt@2.2.4, (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 0, CRITICAL: 0)
├── bash@5.1-2+deb11u1, (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)
├── bsdutils@1:2.36.1-8+deb11u1, (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 0, CRITICAL: 0)
├── coreutils@8.32-4+b1, (UNKNOWN: 0, LOW: 2, MEDIUM: 0, HIGH: 0, CRITICAL: 0)
├── curl@7.74.0-1.3+deb11u7, (UNKNOWN: 0, LOW: 3, MEDIUM: 2, HIGH: 7, CRITICAL: 2)
-- snip --
-
--severityオプションで出力内容をフィルタリング可能(LOW,MEDIUM,HIGH,CRITICAL)
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image --severity HIGH,CRITICAL nginx:latest
-- result --
nginx:latest (debian 11.7)
==========================
Total: 38 (HIGH: 33, CRITICAL: 5)
┌───────────────┬────────────────┬──────────┬────────────────────────┬───────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├───────────────┼────────────────┼──────────┼────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ CVE-2022-3715 │ HIGH │ 5.1-2+deb11u1 │ │ a heap-buffer-overflow in valid_parameter_transform │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3715 │
├───────────────┼────────────────┼──────────┼────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2023-23914 │ CRITICAL │ 7.74.0-1.3+deb11u7 │ │ HSTS ignored on multiple requests │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23914 │-- snip --
-- snip --
-
--format cyclonedx|spdxオプションでSBOM形式を指定可能
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image --format spdx nginx:latest
-- result --
SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: nginx:latest
DocumentNamespace: http://aquasecurity.github.io/trivy/container_image/nginx:latest-cdce0dd1-cd04-4e30-9ae1-c5862c3e2bc4
Creator: Organization: aquasecurity
Creator: Tool: trivy-0.41.0
Created: 2023-06-07T02:47:46Z
##### Package: nginx:latest
PackageName: nginx:latest
SPDXID: SPDXRef-ContainerImage-489dc1a19fbe75c6
PackageDownloadLocation: NONE
PrimaryPackagePurpose: CONTAINER
FilesAnalyzed: false
ExternalRef: PACKAGE-MANAGER purl pkg:oci/nginx@sha256:480868e8c8c797794257e2abd88d0f9a8809b2fe956cbfbc05dcc0bca1f7cd43?repository_url=index.docker.io%2Flibrary%2Fnginx&arch=amd64
PackageAttributionText: SchemaVersion: 2
PackageAttributionText: ImageID: sha256:448a08f1d2f94e8db6db9286fd77a3a4f3712786583720a12f1648abb8cace25
PackageAttributionText: RepoDigest: nginx@sha256:480868e8c8c797794257e2abd88d0f9a8809b2fe956cbfbc05dcc0bca1f7cd43
PackageAttributionText: DiffID: sha256:8553b91047dad45bedc292812586f1621e0a464a09a7a7c2ce6ac5f8ba2535d7
PackageAttributionText: DiffID: sha256:a29cc9587af6488ae0cbb962ecbe023d347908cc62ca5d715af06e54ccaa9e36
PackageAttributionText: DiffID: sha256:6bc8ae8fb3cf0909b3d9c2e74f6cabe16e6a2322c52cec76fbaecaef47006f1d
PackageAttributionText: DiffID: sha256:5684be535bf11cb9ad1a57b51085f36d84ae8361eabc2b4c2ba9a83e8b084b20
PackageAttributionText: DiffID: sha256:93ee76f39c974e4f819e632149c002d6f509aadc5995ec6523a96b337751c8ed
PackageAttributionText: DiffID: sha256:1040838fe30e6f26d31bde96c514f47ee4bf727b3f1c3c7b045ea3891c1c2150
PackageAttributionText: RepoTag: nginx:latest
-- snip --
-
-oオプションで実行結果を保存
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image --format spdx -o nginx-spdx.json nginx:latest
-- result --
2023-06-07T03:17:16.449Z INFO "--format spdx" and "--format spdx-json" disable security scanning
-- snip --
-
SBOMオプションでSBOMファイルを基に脆弱性をスキャン可能
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ -v /tmp:/tmp aquasec/trivy:latest sbom /tmp/nginx-spdx.json
-- result --
/tmp/nginx-spdx.json (debian 11.7)
==================================
Total: 144 (UNKNOWN: 0, LOW: 90, MEDIUM: 16, HIGH: 33, CRITICAL: 5)
┌──────────────────┬──────────────────┬──────────┬─────────────────────────┬───────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├──────────────────┼──────────────────┼──────────┼─────────────────────────┼───────────────────┼──────────────────────────────────────────────────────────────┤
-- snip --
-
-fオプションで出力形式を指定可能(Table,JSON,SARIF,Template)
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image -f json nginx:latest
-- result --
-- snip --
-
-fオプションで出力形式を指定可能(Table,JSON,SARIF,Template)
docker run -v /var/run/docker.sock:/var/run/docker.sock -v $HOME/Library/Caches:/root/.cache/ aquasec/trivy:latest image -f json nginx:latest
-- result --
-- snip --
おわりに
今回の調査でOSS 関連ライセンスは幅広いことが分かりました。
しかし、大本のライセンスはGPL・MIT・BSD・Public domain・Apacheあたりがメジャー所だと理解しました。
企業ユースでは、Oracle系ライセンスに気を付けたいと思いました。