Uploaded image for project: 'Project Quay'
  1. Project Quay
  2. PROJQUAY-5630

Quay 3.9.0 Quay image High vulnerability issue CVE-2022-28948

XMLWordPrintable

    • False
    • None
    • False
    • 0

      Description:

      This is a vulnerability issue of Quay 3.9.0 image, when scan Quay 3.9.0 quay image, found HIGH vulnerability issue "CVE-2022-28948", pls review and fix, see attached report  Quay3.9.0_image_vulnerability_scan_results 

      Quay: quay-operator-bundle-container-v3.9.0-114

      Note: This issue is also existed in Quay Operator image "quay-quay-operator-rhel8:v3.9.0-15"

      workspace/manager (gobinary)
============================
Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 1, HIGH: 1, CRITICAL: 0)     


┌───────────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬────────────────────────────────────────────────────────────┐             
│          Library          │ Vulnerability  │ Severity │         Installed Version          │           Fixed Version           │                           Title                            │
├───────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼────────────────────────────────────────────────────────────┤             
│ github.com/aws/aws-sdk-go │ CVE-2020-8911  │ MEDIUM   │ v1.35.31                           │                                   │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto  │             
│                           │                │          │                                    │                                   │ SDK for golang...                                          │             
│                           │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2020-8911                  │             
│                           ├────────────────┼──────────┤                                    ├───────────────────────────────────┼────────────────────────────────────────────────────────────┤             
│                           │ CVE-2020-8912  │ LOW      │                                    │                                   │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │             
│                           │                │          │                                    │                                   │ SDK for golang...                                          │             
│                           │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2020-8912                  │
├───────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼────────────────────────────────────────────────────────────┤             
│ gopkg.in/yaml.v3          │ CVE-2022-28948 │ HIGH     │ v3.0.0-20210107192922-496545a6307b │ 3.0.0-20220521103104-8f96da9f5d5e │ crash when attempting to deserialize invalid input         │
│                           │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-28948                 │             
└───────────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────

        1. Quay3.9.0_image_vulnerability_scan_results
          63 kB
        2. quay-quay-rhel8-v3.9.0-163.txt
          140 kB

            obulatov@redhat.com Oleg Bulatov
            lzha1981 luffy zhang
            Votes:
            0 Vote for this issue
            Watchers:
            4 Start watching this issue

              Created:
              Updated:
              Resolved: