はじめに
Trivyはオープンソースのセキュリティスキャナです。
https://trivy.dev/latest/
脆弱性を調べたり、SBOMを生成できるようです。
試しにコンテナイメージに対して使ってみます。
環境情報
環境は以下です。
| コンポーネント | バージョン | 備考 |
|---|---|---|
| PC | Intel® NUC Kit NUC11PAHi7 | SSD: 2TB Memory: 64GB |
| OS | Ubuntu 24.04 | |
| Docker | 27.6.1 | |
| Trivy | v0.66 |
インストール方法
Ubuntuのaptではインストールできなさそうでした。
GitHub ReleaseにIntel系のCPUのUbuntu向けにdebパッケージが提供されていたので利用します。
https://github.com/aquasecurity/trivy/releases
❯ wget https://github.com/aquasecurity/trivy/releases/download/v0.66.0/trivy_0.66.0_Linux-64bit.deb
❯ sudo dpkg -i trivy_0.66.0_Linux-64bit.deb
❯ trivy --version
Version: 0.66.0
nginxのイメージのダウンロード
コンテナイメージの例としてnginxを利用するため、ダウンロードしておきます。
❯ docker pull nginx:1.29.1
コンテナイメージの脆弱性スキャン
実行は簡単でtrivy imageコマンドに対して、コンテナイメージを指定するだけです。
nginx 1.29.1のコンテナイメージの脆弱性をスキャンしてみます。
❯ trivy image nginx:1.29.1
実行結果も貼付しておきます。
実行結果
❯ trivy image nginx:1.29.1
2025-09-15T21:02:31+09:00 INFO [vulndb] Need to update DB
2025-09-15T21:02:31+09:00 INFO [vulndb] Downloading vulnerability DB...
2025-09-15T21:02:31+09:00 INFO [vulndb] Downloading artifact... repo="mirror.gcr.io/aquasec/trivy-db:2"
70.52 MiB / 70.52 MiB [----------------------------------------------------------------------------] 100.00% 12.89 MiB p/s 5.7s
2025-09-15T21:02:38+09:00 INFO [vulndb] Artifact successfully downloaded repo="mirror.gcr.io/aquasec/trivy-db:2"
2025-09-15T21:02:38+09:00 INFO [vuln] Vulnerability scanning is enabled
2025-09-15T21:02:38+09:00 INFO [secret] Secret scanning is enabled
2025-09-15T21:02:38+09:00 INFO [secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2025-09-15T21:02:38+09:00 INFO [secret] Please see https://trivy.dev/v0.66/docs/scanner/secret#recommendation for faster secret detection
2025-09-15T21:02:39+09:00 INFO [javadb] Downloading Java DB...
2025-09-15T21:02:39+09:00 INFO [javadb] Downloading artifact... repo="mirror.gcr.io/aquasec/trivy-java-db:1"
775.56 MiB / 775.56 MiB [---------------------------------------------------------------------------] 100.00% 19.00 MiB p/s 41s
2025-09-15T21:03:22+09:00 INFO [javadb] Artifact successfully downloaded repo="mirror.gcr.io/aquasec/trivy-java-db:1"
2025-09-15T21:03:22+09:00 INFO [javadb] Java DB is cached for 3 days. If you want to update the database more frequently, "trivy clean --java-db" command clears the DB cache.
2025-09-15T21:03:22+09:00 INFO Detected OS family="debian" version="12.12"
2025-09-15T21:03:22+09:00 INFO [debian] Detecting vulnerabilities... os_version="12" pkg_num=149
2025-09-15T21:03:22+09:00 INFO Number of language-specific files num=0
2025-09-15T21:03:22+09:00 WARN Using severities from other vendors for some vulnerabilities. Read https://trivy.dev/v0.66/docs/scanner/vulnerability#severity-selection for details.
Report Summary
┌─────────────────────────────┬────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├─────────────────────────────┼────────┼─────────────────┼─────────┤
│ nginx:1.29.1 (debian 12.12) │ debian │ 139 │ - │
└─────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)
nginx:1.29.1 (debian 12.12)
Total: 139 (UNKNOWN: 1, LOW: 107, MEDIUM: 21, HIGH: 8, CRITICAL: 2)
┌────────────────────┬─────────────────────┬──────────┬──────────────┬─────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ affected │ 2.6.1 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ │ correctly... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ TEMP-0841856-B18BAF │ │ │ 5.2.15-2+b9 │ │ [Privilege escalation possible to other user than root] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │
│ │ │ │ │ │ │ 8BAF │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2022-0563 │ │ │ 1:2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ │ will_not_fix │ 9.1-1 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-18018 │ │ affected │ │ │ coreutils: race condition vulnerability in chown and chgrp │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-5278 │ │ │ │ │ coreutils: Heap Buffer Under-Read in GNU Coreutils sort via │
│ │ │ │ │ │ │ Key Specification │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-5278 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2025-10148 │ MEDIUM │ will_not_fix │ 7.88.1-10+deb12u14 │ │ curl: predictable WebSocket mask │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-10148 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9086 │ │ affected │ │ │ curl: libcurl: Curl out of bounds read for cookie path │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9086 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2379 │ LOW │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-0725 │ │ │ │ │ libcurl: Buffer Overflow in libcurl via zlib Integer │
│ │ │ │ │ │ │ Overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-0725 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ dpkg │ CVE-2025-6297 │ UNKNOWN │ │ 1.21.22 │ │ It was discovered that dpkg-deb does not properly sanitize │
│ │ │ │ │ │ │ directory p ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6297 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base │ CVE-2022-27943 │ LOW │ │ 12.2.0-14+deb12u1 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ │ 2.2.40-1.1+deb12u1 │ │ gnupg: denial of service issue (resource consumption) using │
│ │ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-30258 │ │ │ │ │ gnupg: verification DoS due to a malicious subkey in the │
│ │ │ │ │ │ │ keyring │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-30258 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libaom3 │ CVE-2023-6879 │ CRITICAL │ │ 3.6.0-1+deb12u2 │ │ aom: heap-buffer-overflow on frame size change │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6879 │
│ ├─────────────────────┼──────────┼──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-39616 │ HIGH │ will_not_fix │ │ │ AOMedia v3.0.0 to v3.5.0 was discovered to contain an │
│ │ │ │ │ │ │ invalid read mem... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39616 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0 │ CVE-2011-3374 │ LOW │ affected │ 2.6.1 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ │ correctly... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2010-4756 │ │ │ 2.36-9+deb12u13 │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ │ because of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libc6 │ CVE-2010-4756 │ │ │ │ │ glibc: glob implementation can cause excessive CPU and │
│ │ │ │ │ │ │ memory consumption due to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │
│ │ │ │ │ │ │ because of... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │
│ │ │ │ │ │ │ pthread_created thread │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │
│ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl4 │ CVE-2025-10148 │ MEDIUM │ will_not_fix │ 7.88.1-10+deb12u14 │ │ curl: predictable WebSocket mask │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-10148 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9086 │ │ affected │ │ │ curl: libcurl: Curl out of bounds read for cookie path │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9086 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2379 │ LOW │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-0725 │ │ │ │ │ libcurl: Buffer Overflow in libcurl via zlib Integer │
│ │ │ │ │ │ │ Overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-0725 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libdav1d6 │ CVE-2023-32570 │ MEDIUM │ will_not_fix │ 1.0.0-2+deb12u1 │ │ VideoLAN dav1d before 1.2.0 has a thread_task.c race │
│ │ │ │ │ │ │ condition that ca ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-32570 │
├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libde265-0 │ CVE-2023-51792 │ │ affected │ 1.0.11-1+deb12u2 │ │ Buffer Overflow vulnerability in libde265 v1.0.12 allows a │
│ │ │ │ │ │ │ local attac ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-51792 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-38949 │ │ fix_deferred │ │ │ Heap Buffer Overflow vulnerability in Libde265 v1.0.15 │
│ │ │ │ │ │ │ allows attacker ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38949 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-38950 │ │ │ │ │ Heap Buffer Overflow vulnerability in Libde265 v1.0.15 │
│ │ │ │ │ │ │ allows attacker ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-38950 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libexpat1 │ CVE-2023-52426 │ LOW │ affected │ 2.5.0-1+deb12u2 │ │ expat: recursive XML entity expansion vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52426 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28757 │ │ │ │ │ expat: XML Entity Expansion │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28757 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1 │ CVE-2022-27943 │ │ │ 12.2.0-14+deb12u1 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2018-6829 │ │ │ 1.10.1-3 │ │ libgcrypt: ElGamal implementation doesn't have semantic │
│ │ │ │ │ │ │ security due to incorrectly encoded plaintexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-2236 │ │ │ │ │ libgcrypt: vulnerable to Marvin Attack │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2236 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30 │ CVE-2011-3389 │ │ │ 3.7.9-2+deb12u5 │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │
│ │ │ │ │ │ │ (BEAST) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2018-5709 │ │ │ 1.20.1-2+deb12u4 │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libheif1 │ CVE-2023-49463 │ │ │ 1.15.1-1+deb12u1 │ │ libheif v1.17.5 was discovered to contain a segmentation │
│ │ │ │ │ │ │ violation via ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-49463 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-25269 │ │ │ │ │ libheif <= 1.17.6 contains a memory leak in the function │
│ │ │ │ │ │ │ JpegEncoder:: ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25269 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libjbig0 │ CVE-2017-9937 │ │ │ 2.1-6.1 │ │ libtiff: memory malloc failure in tif_jbig.c could cause │
│ │ │ │ │ │ │ DOS. │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-9937 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3 │ CVE-2018-5709 │ │ │ 1.20.1-2+deb12u4 │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3 │ CVE-2018-5709 │ │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├────────────────────┼─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0 │ CVE-2018-5709 │ │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │
│ │ │ │ │ │ │ kadmin/dbutil/dump.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.5-0 │ CVE-2023-2953 │ HIGH │ │ 2.5.13+dfsg-5 │ │ openldap: null pointer dereference in ber_memalloc_x │
│ │ │ │ │ │ │ function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2953 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2015-3276 │ LOW │ │ │ │ openldap: incorrect multi-keyword mode cipherstring parsing │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3276 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-14159 │ │ │ │ │ openldap: Privilege escalation via PID file manipulation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-14159 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17740 │ │ │ │ │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │
│ │ │ │ │ │ │ stack buffer allowing remote attackers to cause... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17740 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-15719 │ │ │ │ │ openldap: Certificate validation incorrectly matches name │
│ │ │ │ │ │ │ against CN-ID │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15719 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules │ CVE-2025-6020 │ HIGH │ │ 1.5.2-6+deb12u1 │ │ linux-pam: Linux-pam directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │
│ ├─────────────────────┼──────────┼──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ affected │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules-bin │ CVE-2025-6020 │ HIGH │ │ │ │ linux-pam: Linux-pam directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │
│ ├─────────────────────┼──────────┼──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ affected │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-runtime │ CVE-2025-6020 │ HIGH │ │ │ │ linux-pam: Linux-pam directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │
│ ├─────────────────────┼──────────┼──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ affected │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam0g │ CVE-2025-6020 │ HIGH │ │ │ │ linux-pam: Linux-pam directory Traversal │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │
│ ├─────────────────────┼──────────┼──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-22365 │ │ affected │ │ │ pam: allowing unprivileged user to block another user │
│ │ │ │ │ │ │ namespace │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16 │ CVE-2021-4214 │ LOW │ │ 1.6.39-2 │ │ libpng: hardcoded value leads to heap-overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4214 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3 │ CVE-2025-27587 │ │ │ 3.0.17-1~deb12u2 │ │ OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is │
│ │ │ │ │ │ │ vulnerable ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27587 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6 │ CVE-2022-27943 │ │ │ 12.2.0-14+deb12u1 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │
│ │ │ │ │ │ │ stack exhaustion in demangle_const │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0 │ CVE-2013-4392 │ │ │ 252.39-1~deb12u1 │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtiff6 │ CVE-2023-52355 │ HIGH │ will_not_fix │ 4.5.0-6+deb12u2 │ │ libtiff: TIFFRasterScanlineSize64 produce too-big size and │
│ │ │ │ │ │ │ could cause OOM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52355 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-6277 │ MEDIUM │ │ │ │ libtiff: Out-of-memory in TIFFOpen via a craft file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6277 │
│ ├─────────────────────┼──────────┼──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-16232 │ LOW │ affected │ │ │ libtiff: Memory leaks in tif_open.c, tif_lzw.c, and │
│ │ │ │ │ │ │ tif_aux.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16232 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-17973 │ │ │ │ │ libtiff: heap-based use after free in │
│ │ │ │ │ │ │ tiff2pdf.c:t2p_writeproc │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17973 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-5563 │ │ │ │ │ libtiff: Heap-buffer overflow in LZWEncode tif_lzw.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-5563 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2017-9117 │ │ │ │ │ libtiff: Heap-based buffer over-read in bmp2tiff │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-9117 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2018-10126 │ │ │ │ │ libtiff: NULL pointer dereference in the jpeg_fdct_16x16 │
│ │ │ │ │ │ │ function in jfdctint.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-10126 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1210 │ │ │ │ │ tiff: Malicious file leads to a denial of service in TIFF │
│ │ │ │ │ │ │ File... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1210 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-1916 │ │ │ │ │ libtiff: out-of-bounds read in extractImageSection() in │
│ │ │ │ │ │ │ tools/tiffcrop.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-1916 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3164 │ │ │ │ │ libtiff: heap-buffer-overflow in extractImageSection() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3164 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-6228 │ │ │ │ │ libtiff: heap-based buffer overflow in cpStripToTile() in │
│ │ │ │ │ │ │ tools/tiffcp.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6228 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-13978 │ │ │ │ │ libtiff: LibTIFF Null Pointer Dereference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-13978 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8176 │ │ │ │ │ libtiff: LibTIFF Use-After-Free Vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8176 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8177 │ │ │ │ │ libtiff: LibTIFF Buffer Overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8177 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8534 │ │ │ │ │ libtiff: Libtiff Null Pointer Dereference Vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8534 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8851 │ │ │ │ │ libtiff: LibTIFF Stack-based buffer overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8851 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8961 │ │ │ │ │ libtiff: LibTIFF memory corruption │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8961 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9165 │ │ │ │ │ libtiff: LibTIFF memory leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9165 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2023-50495 │ MEDIUM │ │ 6.4-4 │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1 │ CVE-2013-4392 │ │ │ 252.39-1~deb12u1 │ │ systemd: TOCTOU race condition when updating file │
│ │ │ │ │ │ │ permissions and SELinux security contexts... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ truncate a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │
│ │ │ │ │ │ │ modify the... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1 │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2 │ CVE-2025-9714 │ MEDIUM │ │ 2.9.14+dfsg-1.3~deb12u4 │ │ libxslt: libxml2: Inifinite recursion at exsltDynMapFunction │
│ │ │ │ │ │ │ function in libexslt/dynamic.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9714 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8732 │ LOW │ │ │ │ libxml2: libxml2: Uncontrolled Recursion Vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8732 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxslt1.1 │ CVE-2025-7425 │ HIGH │ │ 1.1.35-1+deb12u2 │ │ libxslt: Heap Use-After-Free in libxslt caused by atype │
│ │ │ │ │ │ │ corruption in xmlAttrPtr │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-7425 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2015-9019 │ LOW │ │ │ │ libxslt: math.random() in xslt uses unseeded randomness │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-9019 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2007-5686 │ │ │ 1:4.13+dfsg1-1+deb12u1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-56433 │ │ │ │ │ shadow-utils: Default subordinate ID configuration in │
│ │ │ │ │ │ │ /etc/login.defs could lead to compromise │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56433 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│ │ │ │ │ │ │ AD28 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ mount │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2023-50495 │ MEDIUM │ │ 6.4-4 │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │
├────────────────────┼─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin │ CVE-2023-50495 │ MEDIUM │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │
│ ├─────────────────────┼──────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ nginx │ CVE-2009-4487 │ │ │ 1.29.1-1~bookworm │ │ nginx: Absent sanitation of escape sequences in web server │
│ │ │ │ │ │ │ log │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2009-4487 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2013-0337 │ │ will_not_fix │ │ │ The default configuration of nginx, possibly 1.3.13 and │
│ │ │ │ │ │ │ earlier, uses ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0337 │
│ ├─────────────────────┤ ├──────────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-44487 │ │ affected │ │ │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │
│ │ │ │ │ │ │ to a DDoS attack... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2025-27587 │ │ │ 3.0.17-1~deb12u2 │ │ OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is │
│ │ │ │ │ │ │ vulnerable ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27587 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2007-5686 │ │ │ 1:4.13+dfsg1-1+deb12u1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │
│ │ │ │ │ │ │ the /var/lo ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-56433 │ │ │ │ │ shadow-utils: Default subordinate ID configuration in │
│ │ │ │ │ │ │ /etc/login.defs could lead to compromise │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56433 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│ │ │ │ │ │ │ AD28 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base │ CVE-2011-4116 │ │ │ 5.36.0-7+deb12u3 │ │ perl: File:: Temp insecure temporary file handling │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-31486 │ │ │ │ │ http-tiny: insecure TLS cert default │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ sysvinit-utils │ TEMP-0517018-A83CE6 │ │ │ 3.06-4 │ │ [sysvinit: no-root option in expert installer exposes │
│ │ │ │ │ │ │ locally exploitable security flaw] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │
│ │ │ │ │ │ │ 3CE6 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar │ CVE-2005-2541 │ │ │ 1.34+dfsg-1.2+deb12u1 │ │ tar: does not properly warn the user when extracting setuid │
│ │ │ │ │ │ │ or setgid... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2005-2541 │
│ ├─────────────────────┤ │ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ TEMP-0290435-0B57B5 │ │ │ │ │ [tar's rmt command may have undesired side effects] │
│ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │
│ │ │ │ │ │ │ 57B5 │
├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux │ CVE-2022-0563 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: partial disclosure of arbitrary files in chfn │
│ │ │ │ │ │ │ and chsh when compiled... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │
├────────────────────┤ │ │ │ ├───────────────┤ │
│ util-linux-extra │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2023-45853 │ CRITICAL │ will_not_fix │ 1:1.2.13.dfsg-1 │ │ zlib: integer overflow and resultant heap-based buffer │
│ │ │ │ │ │ │ overflow in zipOpenNewFileInZip4_6 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45853 │
└────────────────────┴─────────────────────┴──────────┴──────────────┴─────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
SPDX-JSON形式でSBOMを出力する
nginx 1.29.1のコンテナイメージのSBOMをSPDX-JSON形式で出力してみます。
❯ trivy image nginx:1.29.1 --format spdx-json --output nginx_1.29.1.json
肝心のnginxのパッケージのライセンスは取得できていなかったのですが、他のパッケージはライセンスが取得できたものもあるようです。
SPDXのバージョンは2.3でした。
※現時点での最新は3.0
https://spdx.dev/use/specifications/
こちらも実行結果を貼付したかったのですが、行数が多かったので一部抜粋しておきます。
実行結果 (抜粋)
{ "spdxVersion": "SPDX-2.3", "dataLicense": "CC0-1.0", "SPDXID": "SPDXRef-DOCUMENT", "name": "nginx:1.29.1", "documentNamespace": "http://trivy.dev/container_image/nginx:1.29.1-e9a0ed32-411b-4b21-b2aa-a2ba07a62e86", "creationInfo": { "creators": [ "Organization: aquasecurity", "Tool: trivy-0.66.0" ], "created": "2025-09-15T12:13:46Z" }, "packages": [ { "name": "nginx:1.29.1", "SPDXID": "SPDXRef-ContainerImage-f3184cfffec44ea6", "downloadLocation": "NONE", "filesAnalyzed": false, "externalRefs": [ { "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:oci/nginx@sha256%3Ad5f28ef21aabddd098f3dbc21fe5b7a7d7a184720bc07da0b6c9b9820e97f25e?arch=amd64\u0026repository_url=index.docker.io%2Flibrary%2Fnginx" } ], "primaryPackagePurpose": "CONTAINER", "annotations": [ { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "DiffID: sha256:36f5f951f60a9fa1d51878e76fc16ba7b752f4d464a21b758a8ac88f0992c488" }, (snip) { "name": "apt", "SPDXID": "SPDXRef-Package-e269c24495517c53", "versionInfo": "2.6.1", "supplier": "Organization: APT Development Team \u003cdeity@lists.debian.org\u003e", "downloadLocation": "NONE", "filesAnalyzed": false, "sourceInfo": "built package from: apt 2.6.1", "licenseConcluded": "GPL-2.0-or-later AND GPL-2.0-only AND BSD-3-Clause AND MIT", "licenseDeclared": "GPL-2.0-or-later AND GPL-2.0-only AND BSD-3-Clause AND MIT", "externalRefs": [ { "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:deb/debian/apt@2.6.1?arch=amd64\u0026distro=debian-12.12" } ], "primaryPackagePurpose": "LIBRARY", "annotations": [ { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "LayerDiffID: sha256:36f5f951f60a9fa1d51878e76fc16ba7b752f4d464a21b758a8ac88f0992c488" }, { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "PkgID: apt@2.6.1" }, { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "PkgType: debian" } ] }, (snip) { "name": "nginx", "SPDXID": "SPDXRef-Package-ff46ae614e4266c1", "versionInfo": "1.29.1-1~bookworm", "supplier": "Organization: NGINX Packaging \u003cnginx-packaging@f5.com\u003e", "downloadLocation": "NONE", "filesAnalyzed": false, "sourceInfo": "built package from: nginx 1.29.1-1~bookworm", "licenseConcluded": "NOASSERTION", "licenseDeclared": "NOASSERTION", "externalRefs": [ { "referenceCategory": "PACKAGE-MANAGER", "referenceType": "purl", "referenceLocator": "pkg:deb/debian/nginx@1.29.1-1~bookworm?arch=amd64\u0026distro=debian-12.12" } ], "primaryPackagePurpose": "LIBRARY", "annotations": [ { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "LayerDiffID: sha256:c855abf10cdcf792853d61ec842e41c85cb82a5cb926c86217a7fa632dfc56c4" }, { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "PkgID: nginx@1.29.1-1~bookworm" }, { "annotator": "Tool: trivy-0.66.0", "annotationDate": "2025-09-15T12:13:46Z", "annotationType": "OTHER", "comment": "PkgType: debian" } ]最後に
Trivyでコンテナイメージの脆弱性をスキャンして、SBOMを生成することができました。
Trivyのコマンドのオプションは豊富なので、もっと使い込めばいろいろなことができそうです。