-
Bug
-
Resolution: Done
-
Critical
-
clair-4.6.1, quay-v3.9.0
-
False
-
None
-
False
-
-
Description:
This is Vulnerability issue found in Quay 3.9.0 Clair image, the issue are "CVE-2023-2253", and "CVE-2022-41723-28840", see detailed report attached Quay3.9.0_Clair_image_vulnerability_scan_results
Clair Image: quay-clair-rhel8:v3.9.0-14
usr/bin/clair (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) ┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2022-41723 │ HIGH │ v0.6.0 │ 0.7.0 │ avoid quadratic complexity in HPACK decoding │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ └──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────┘ usr/bin/clairctl (gobinary) Total: 6 (UNKNOWN: 0, LOW: 1, MEDIUM: 2, HIGH: 3, CRITICAL: 0) ┌────────────────────────────────┬─────────────────────┬──────────┬────────────────────────┬────────────────────┬──────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────┼────────────────────┼──────────────────────────────────────────────────────┤ │ github.com/docker/distribution │ CVE-2023-2253 │ HIGH │ v2.7.1+incompatible │ 2.8.2-beta.1 │ DoS from malicious API request │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2253 │ │ ├─────────────────────┼──────────┤ ├────────────────────┼──────────────────────────────────────────────────────┤ │ │ GHSA-qq97-vm5h-rrhg │ LOW │ │ 2.8.0+incompatible │ OCI Manifest Type Confusion Issue │ │ │ │ │ │ │ https://github.com/advisories/GHSA-qq97-vm5h-rrhg │ ├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────┼────────────────────┼──────────────────────────────────────────────────────┤ │ github.com/docker/docker │ CVE-2023-28840 │ HIGH │ v20.10.16+incompatible │ 23.0.3, 20.10.24 │ Encrypted overlay network may be unauthenticated │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28840 │ │ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────┤ │ │ CVE-2023-28841 │ MEDIUM │ │ │ Encrypted overlay network traffic may be unencrypted │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28841 │ │ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────┤ │ │ CVE-2023-28842 │ │ │ │ Encrypted overlay network with a single endpoint is │ │ │ │ │ │ │ unauthenticated │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28842 │ ├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────┼────────────────────┼──────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2022-41723 │ HIGH │ v0.6.0 │ 0.7.0 │ avoid quadratic complexity in HPACK decoding │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ └────────────────────────────────┴─────────────────────┴──────────┴────────────────────────┴────────────────────┴──────────────────────────────────────────────────────┘