image registry.redhat.io/container-native-virtualization/virt-cdi-apiserver-rhel9@sha256:69fff8641476f835d9e52846c1c050b43c74662618af15982b72f68fe0bd1034 e295568d59c5522bb434e357c881c5907a7d918260d5a6a673f5c1557cfc7466 scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-apiserver-rhel9@sha256:69fff8641476f835d9e52846c1c050b43c74662618af15982b72f68fe0bd1034 2024-04-29T15:36:55.682+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:36:57.394+0200 INFO Number of language-specific files: 1 2024-04-29T15:36:57.394+0200 INFO Detecting gobinary vulnerabilities... usr/bin/virt-cdi-apiserver (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ ----------- image registry.redhat.io/container-native-virtualization/virt-cdi-cloner-rhel9@sha256:74e1d0b686a1a3a10c656763fcd7f2602c0faee20b207f6adc10a780bf910e76 e30d27355bff0de58cdd54fc2e645ba7c9a7be13d6764e2aee40036c28c82bf3 scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-cloner-rhel9@sha256:74e1d0b686a1a3a10c656763fcd7f2602c0faee20b207f6adc10a780bf910e76 2024-04-29T15:36:59.741+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:37:01.278+0200 INFO Number of language-specific files: 1 2024-04-29T15:37:01.278+0200 INFO Detecting gobinary vulnerabilities... usr/bin/cdi-cloner (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ ----------- image registry.redhat.io/container-native-virtualization/virt-cdi-controller-rhel9@sha256:da19c2117968abcdfba3690097da22c4f66db4593b920af6ac58a13c27e8d9c8 242d51f024e12164f14e64e2c491810cc0f35e2cd451da392c54661bfa5dc2a9 scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-controller-rhel9@sha256:da19c2117968abcdfba3690097da22c4f66db4593b920af6ac58a13c27e8d9c8 2024-04-29T15:37:03.574+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:37:05.258+0200 INFO Number of language-specific files: 1 2024-04-29T15:37:05.258+0200 INFO Detecting gobinary vulnerabilities... usr/bin/virt-cdi-controller (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ ----------- image registry.redhat.io/container-native-virtualization/virt-cdi-importer-rhel9@sha256:9c35171a1a4119b144cd805dc5b6dcf3b073a5098fa30eca6861f23e0685963e c55622ea464bc91526d966dbaf7e96d9fb8105cfc8d63250b1046401ecb418ac scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-importer-rhel9@sha256:9c35171a1a4119b144cd805dc5b6dcf3b073a5098fa30eca6861f23e0685963e 2024-04-29T15:37:07.530+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:37:10.797+0200 INFO Number of language-specific files: 5 2024-04-29T15:37:10.797+0200 INFO Detecting gobinary vulnerabilities... usr/bin/cdi-image-size-detection (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ usr/bin/cdi-source-update-poller (gobinary) Total: 13 (UNKNOWN: 0, LOW: 1, MEDIUM: 9, HIGH: 3, CRITICAL: 0) ┌────────────────────────────────┬─────────────────────┬──────────┬────────┬──────────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────┼─────────────────────┼──────────┼────────┼──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ fixed │ v1.15.77 │ 1.34.0 │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for golang... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2582 │ │ │ │ │ The AWS S3 Crypto SDK sends an unencrypted hash of the │ │ │ │ │ │ │ │ plaintext... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2582 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ GHSA-76wf-9vgp-pj7w │ │ │ │ │ Unencrypted md5 plaintext hash in metadata in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for... │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-76wf-9vgp-pj7w │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8912 │ LOW │ │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for golang... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/docker/docker │ CVE-2023-28840 │ HIGH │ │ v23.0.2+incompatible │ 20.10.24, 23.0.3 │ moby: Encrypted overlay network may be unauthenticated │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28840 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28841 │ MEDIUM │ │ │ │ moby: Encrypted overlay network traffic may be unencrypted │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28841 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28842 │ │ │ │ │ moby: Encrypted overlay network with a single endpoint is │ │ │ │ │ │ │ │ unauthenticated │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28842 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24557 │ │ │ │ 25.0.2, 24.0.9 │ moby: classic builder cache poisoning │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24557 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-29018 │ │ │ │ 26.0.0-rc3, 25.0.5, 23.0.11 │ moby: external DNS requests from 'internal' networks could │ │ │ │ │ │ │ │ lead to data exfiltration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29018 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-jq35-85cj-fj4p │ │ │ │ 24.0.7, 23.0.8, 20.10.27 │ /sys/devices/virtual/powercap accessible by default to │ │ │ │ │ │ │ │ containers │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-jq35-85cj-fj4p │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/opencontainers/runc │ CVE-2024-21626 │ HIGH │ │ v1.1.5 │ 1.1.12 │ runc: file descriptor leak │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21626 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-3154 │ │ │ │ 1.2.0-rc.1 │ cri-o: Arbitrary command injection via pod annotation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-3154 │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────────┴─────────────────────┴──────────┴────────┴──────────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘ usr/bin/openstack-populator (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ usr/bin/virt-cdi-importer (gobinary) Total: 13 (UNKNOWN: 0, LOW: 1, MEDIUM: 9, HIGH: 3, CRITICAL: 0) ┌────────────────────────────────┬─────────────────────┬──────────┬────────┬──────────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────┼─────────────────────┼──────────┼────────┼──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ fixed │ v1.15.77 │ 1.34.0 │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for golang... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2582 │ │ │ │ │ The AWS S3 Crypto SDK sends an unencrypted hash of the │ │ │ │ │ │ │ │ plaintext... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2582 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ GHSA-76wf-9vgp-pj7w │ │ │ │ │ Unencrypted md5 plaintext hash in metadata in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for... │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-76wf-9vgp-pj7w │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8912 │ LOW │ │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for golang... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/docker/docker │ CVE-2023-28840 │ HIGH │ │ v23.0.2+incompatible │ 20.10.24, 23.0.3 │ moby: Encrypted overlay network may be unauthenticated │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28840 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28841 │ MEDIUM │ │ │ │ moby: Encrypted overlay network traffic may be unencrypted │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28841 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28842 │ │ │ │ │ moby: Encrypted overlay network with a single endpoint is │ │ │ │ │ │ │ │ unauthenticated │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28842 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24557 │ │ │ │ 25.0.2, 24.0.9 │ moby: classic builder cache poisoning │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24557 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-29018 │ │ │ │ 26.0.0-rc3, 25.0.5, 23.0.11 │ moby: external DNS requests from 'internal' networks could │ │ │ │ │ │ │ │ lead to data exfiltration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29018 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-jq35-85cj-fj4p │ │ │ │ 24.0.7, 23.0.8, 20.10.27 │ /sys/devices/virtual/powercap accessible by default to │ │ │ │ │ │ │ │ containers │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-jq35-85cj-fj4p │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/opencontainers/runc │ CVE-2024-21626 │ HIGH │ │ v1.1.5 │ 1.1.12 │ runc: file descriptor leak │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21626 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-3154 │ │ │ │ 1.2.0-rc.1 │ cri-o: Arbitrary command injection via pod annotation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-3154 │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────────┴─────────────────────┴──────────┴────────┴──────────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘ ----------- image registry.redhat.io/container-native-virtualization/virt-cdi-operator-rhel9@sha256:cfaffbcc007c6c9df66adcc1fefb1b02eeb4854b59fb4615d527f73a400787c2 7aeebd6d50e15da1e82d2e2a63b12d9edb486950f1cb33c953ed58b50bb3684b scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-operator-rhel9@sha256:cfaffbcc007c6c9df66adcc1fefb1b02eeb4854b59fb4615d527f73a400787c2 2024-04-29T15:37:13.461+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:37:15.507+0200 INFO Number of language-specific files: 2 2024-04-29T15:37:15.507+0200 INFO Detecting gobinary vulnerabilities... usr/bin/csv-generator (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ usr/bin/virt-cdi-operator (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ ----------- image registry.redhat.io/container-native-virtualization/virt-cdi-uploadproxy-rhel9@sha256:fc4d63693303fb764c2db1331e2f58450a4f8884752c005fe14d67b220343542 e6fb8304ef78e4a5432419537dd3c0f217183de0e245b37fd14474287b9a93b0 scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-uploadproxy-rhel9@sha256:fc4d63693303fb764c2db1331e2f58450a4f8884752c005fe14d67b220343542 2024-04-29T15:37:17.902+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:37:19.572+0200 INFO Number of language-specific files: 1 2024-04-29T15:37:19.572+0200 INFO Detecting gobinary vulnerabilities... usr/bin/virt-cdi-uploadproxy (gobinary) Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ ----------- image registry.redhat.io/container-native-virtualization/virt-cdi-uploadserver-rhel9@sha256:29acca0a5c5fdd7c6a88783aa27bf37d997a16c1fc1594f06840f249a3b58255 44925f2e8505b3e7c4da7b4e7b80563c579f7bce19292592cd9857c31939f109 scanning registry-proxy.engineering.redhat.com/rh-osbs/container-native-virtualization-virt-cdi-uploadserver-rhel9@sha256:29acca0a5c5fdd7c6a88783aa27bf37d997a16c1fc1594f06840f249a3b58255 2024-04-29T15:37:21.891+0200 INFO Vulnerability scanning is enabled 2024-04-29T15:37:23.741+0200 INFO Number of language-specific files: 1 2024-04-29T15:37:23.741+0200 INFO Detecting gobinary vulnerabilities... usr/bin/virt-cdi-uploadserver (gobinary) Total: 13 (UNKNOWN: 0, LOW: 1, MEDIUM: 9, HIGH: 3, CRITICAL: 0) ┌────────────────────────────────┬─────────────────────┬──────────┬────────┬──────────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────┼─────────────────────┼──────────┼────────┼──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ fixed │ v1.15.77 │ 1.34.0 │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for golang... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2582 │ │ │ │ │ The AWS S3 Crypto SDK sends an unencrypted hash of the │ │ │ │ │ │ │ │ plaintext... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2582 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ GHSA-76wf-9vgp-pj7w │ │ │ │ │ Unencrypted md5 plaintext hash in metadata in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for... │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-76wf-9vgp-pj7w │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8912 │ LOW │ │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │ │ │ │ │ │ │ │ SDK for golang... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/docker/docker │ CVE-2023-28840 │ HIGH │ │ v23.0.2+incompatible │ 20.10.24, 23.0.3 │ moby: Encrypted overlay network may be unauthenticated │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28840 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28841 │ MEDIUM │ │ │ │ moby: Encrypted overlay network traffic may be unencrypted │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28841 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28842 │ │ │ │ │ moby: Encrypted overlay network with a single endpoint is │ │ │ │ │ │ │ │ unauthenticated │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28842 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24557 │ │ │ │ 25.0.2, 24.0.9 │ moby: classic builder cache poisoning │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24557 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-29018 │ │ │ │ 26.0.0-rc3, 25.0.5, 23.0.11 │ moby: external DNS requests from 'internal' networks could │ │ │ │ │ │ │ │ lead to data exfiltration... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29018 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-jq35-85cj-fj4p │ │ │ │ 24.0.7, 23.0.8, 20.10.27 │ /sys/devices/virtual/powercap accessible by default to │ │ │ │ │ │ │ │ containers │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-jq35-85cj-fj4p │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/opencontainers/runc │ CVE-2024-21626 │ HIGH │ │ v1.1.5 │ 1.1.12 │ runc: file descriptor leak │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21626 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-3154 │ │ │ │ 1.2.0-rc.1 │ cri-o: Arbitrary command injection via pod annotation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-3154 │ ├────────────────────────────────┼─────────────────────┼──────────┤ ├──────────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ │ v1.31.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────────┴─────────────────────┴──────────┴────────┴──────────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘ -----------