Uploaded image for project: 'Project Quay'
  1. Project Quay
  2. PROJQUAY-5630

Quay 3.9.0 Quay image High vulnerability issue CVE-2022-28948

XMLWordPrintable

    • False
    • None
    • False

      Description:

      This is a vulnerability issue of Quay 3.9.0 image, when scan Quay 3.9.0 quay image, found HIGH vulnerability issue "CVE-2022-28948", pls review and fix, see attached report  Quay3.9.0_image_vulnerability_scan_results 

      Quay: quay-operator-bundle-container-v3.9.0-114

      Note: This issue is also existed in Quay Operator image "quay-quay-operator-rhel8:v3.9.0-15"

      workspace/manager (gobinary)
      ============================
      Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 1, HIGH: 1, CRITICAL: 0)     
      
      
      ┌───────────────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬────────────────────────────────────────────────────────────┐             
      │          Library          │ Vulnerability  │ Severity │         Installed Version          │           Fixed Version           │                           Title                            │
      ├───────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼────────────────────────────────────────────────────────────┤             
      │ github.com/aws/aws-sdk-go │ CVE-2020-8911  │ MEDIUM   │ v1.35.31                           │                                   │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto  │             
      │                           │                │          │                                    │                                   │ SDK for golang...                                          │             
      │                           │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2020-8911                  │             
      │                           ├────────────────┼──────────┤                                    ├───────────────────────────────────┼────────────────────────────────────────────────────────────┤             
      │                           │ CVE-2020-8912  │ LOW      │                                    │                                   │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │             
      │                           │                │          │                                    │                                   │ SDK for golang...                                          │             
      │                           │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2020-8912                  │
      ├───────────────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼────────────────────────────────────────────────────────────┤             
      │ gopkg.in/yaml.v3          │ CVE-2022-28948 │ HIGH     │ v3.0.0-20210107192922-496545a6307b │ 3.0.0-20220521103104-8f96da9f5d5e │ crash when attempting to deserialize invalid input         │
      │                           │                │          │                                    │                                   │ https://avd.aquasec.com/nvd/cve-2022-28948                 │             
      └───────────────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴────────────────────────────────────────────────────────── 

              obulatov@redhat.com Oleg Bulatov (Inactive)
              lzha1981 luffy zhang
              Votes:
              0 Vote for this issue
              Watchers:
              4 Start watching this issue

                Created:
                Updated:
                Resolved: