Uploaded image for project: 'Project Quay'
  1. Project Quay
  2. PROJQUAY-5632

Quay 3.9.0 Clair image High Vulnerability issue CVE-2023-2253 and CVE-2022-41723-28840

XMLWordPrintable

    • False
    • None
    • False

      Description:

      This is Vulnerability issue found in Quay 3.9.0 Clair image, the issue are "CVE-2023-2253", and "CVE-2022-41723-28840", see detailed report attached Quay3.9.0_Clair_image_vulnerability_scan_results 

      Clair Image:  quay-clair-rhel8:v3.9.0-14

      usr/bin/clair (gobinary)
      
      
      Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)
      
      
      ┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────┐
      │     Library      │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                    Title                     │
      ├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────┤
      │ golang.org/x/net │ CVE-2022-41723 │ HIGH     │ v0.6.0            │ 0.7.0         │ avoid quadratic complexity in HPACK decoding │
      │                  │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-41723   │
      └──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────┘
      
      
      usr/bin/clairctl (gobinary)
      
      
      Total: 6 (UNKNOWN: 0, LOW: 1, MEDIUM: 2, HIGH: 3, CRITICAL: 0)
      
      
      ┌────────────────────────────────┬─────────────────────┬──────────┬────────────────────────┬────────────────────┬──────────────────────────────────────────────────────┐
      │            Library             │    Vulnerability    │ Severity │   Installed Version    │   Fixed Version    │                        Title                         │
      ├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────┼────────────────────┼──────────────────────────────────────────────────────┤
      │ github.com/docker/distribution │ CVE-2023-2253       │ HIGH     │ v2.7.1+incompatible    │ 2.8.2-beta.1       │ DoS from malicious API request                       │
      │                                │                     │          │                        │                    │ https://avd.aquasec.com/nvd/cve-2023-2253            │
      │                                ├─────────────────────┼──────────┤                        ├────────────────────┼──────────────────────────────────────────────────────┤
      │                                │ GHSA-qq97-vm5h-rrhg │ LOW      │                        │ 2.8.0+incompatible │ OCI Manifest Type Confusion Issue                    │
      │                                │                     │          │                        │                    │ https://github.com/advisories/GHSA-qq97-vm5h-rrhg    │
      ├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────┼────────────────────┼──────────────────────────────────────────────────────┤
      │ github.com/docker/docker       │ CVE-2023-28840      │ HIGH     │ v20.10.16+incompatible │ 23.0.3, 20.10.24   │ Encrypted overlay network may be unauthenticated     │
      │                                │                     │          │                        │                    │ https://avd.aquasec.com/nvd/cve-2023-28840           │
      │                                ├─────────────────────┼──────────┤                        │                    ├──────────────────────────────────────────────────────┤
      │                                │ CVE-2023-28841      │ MEDIUM   │                        │                    │ Encrypted overlay network traffic may be unencrypted │
      │                                │                     │          │                        │                    │ https://avd.aquasec.com/nvd/cve-2023-28841           │
      │                                ├─────────────────────┤          │                        │                    ├──────────────────────────────────────────────────────┤
      │                                │ CVE-2023-28842      │          │                        │                    │ Encrypted overlay network with a single endpoint is  │
      │                                │                     │          │                        │                    │ unauthenticated                                      │
      │                                │                     │          │                        │                    │ https://avd.aquasec.com/nvd/cve-2023-28842           │
      ├────────────────────────────────┼─────────────────────┼──────────┼────────────────────────┼────────────────────┼──────────────────────────────────────────────────────┤
      │ golang.org/x/net               │ CVE-2022-41723      │ HIGH     │ v0.6.0                 │ 0.7.0              │ avoid quadratic complexity in HPACK decoding         │
      │                                │                     │          │                        │                    │ https://avd.aquasec.com/nvd/cve-2022-41723           │
      └────────────────────────────────┴─────────────────────┴──────────┴────────────────────────┴────────────────────┴──────────────────────────────────────────────────────┘ 

            lzha1981 luffy zhang
            lzha1981 luffy zhang
            Votes:
            0 Vote for this issue
            Watchers:
            2 Start watching this issue

              Created:
              Updated:
              Resolved: