Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Updating deps with 'go get -u' #134

Open
wants to merge 2 commits into
base: master
Choose a base branch
from

Conversation

oren-adhoc
Copy link

This branch updates dependencies to resolve a number of CVEs. Here is the previous output from Trivy:

home/es-proxy/aws-es-proxy-1.5-linux-386 (gobinary)
===================================================
Total: 28 (UNKNOWN: 1, LOW: 0, MEDIUM: 15, HIGH: 10, CRITICAL: 2)
┌──────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Status │ Installed Version │          Fixed Version           │                            Title                             │
├──────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ fixed  │ v0.8.0            │ 0.17.0                           │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │        │                   │                                  │ excessive work (CVE-2023-44487)                              │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│                  ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3978  │ MEDIUM   │        │                   │ 0.13.0                           │ golang.org/x/net/html: Cross site scripting                  │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-3978                    │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-44487 │          │        │                   │ 0.17.0                           │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable   │
│                  │                │          │        │                   │                                  │ to a DDoS attack...                                          │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-45288 │          │        │                   │ 0.23.0                           │ golang: net/http, x/net/http2: unlimited number of           │
│                  │                │          │        │                   │                                  │ CONTINUATION frames causes DoS                               │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
├──────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib           │ CVE-2023-24538 │ CRITICAL │        │ 1.20.1            │ 1.19.8, 1.20.3                   │ golang: html/template: backticks not treated as string       │
│                  │                │          │        │                   │                                  │ delimiters                                                   │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24538                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-24540 │          │        │                   │ 1.19.9, 1.20.4                   │ golang: html/template: improper handling of JavaScript       │
│                  │                │          │        │                   │                                  │ whitespace                                                   │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24540                   │
│                  ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-24534 │ HIGH     │        │                   │ 1.19.8, 1.20.3                   │ golang: net/http, net/textproto: denial of service from      │
│                  │                │          │        │                   │                                  │ excessive memory allocation                                  │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24534                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-24536 │          │        │                   │                                  │ golang: net/http, net/textproto, mime/multipart: denial of   │
│                  │                │          │        │                   │                                  │ service from excessive resource consumption                  │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24536                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-24537 │          │        │                   │                                  │ golang: go/parser: Infinite loop in parsing                  │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24537                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-24539 │          │        │                   │ 1.19.9, 1.20.4                   │ golang: html/template: improper sanitization of CSS values   │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24539                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29400 │          │        │                   │                                  │ golang: html/template: improper handling of empty HTML       │
│                  │                │          │        │                   │                                  │ attributes                                                   │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29400                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29403 │          │        │                   │ 1.19.10, 1.20.5                  │ golang: runtime: unexpected behavior of setuid/setgid        │
│                  │                │          │        │                   │                                  │ binaries                                                     │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29403                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-39325 │          │        │                   │ 1.20.10, 1.21.3                  │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │        │                   │                                  │ excessive work (CVE-2023-44487)                              │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-45283 │          │        │                   │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\    │
│                  │                │          │        │                   │                                  │ prefix as...                                                 │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45283                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-45288 │          │        │                   │ 1.21.9, 1.22.2                   │ golang: net/http, x/net/http2: unlimited number of           │
│                  │                │          │        │                   │                                  │ CONTINUATION frames causes DoS                               │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
│                  ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-24532 │ MEDIUM   │        │                   │ 1.19.7, 1.20.2                   │ golang: crypto/internal/nistec: specific unreduced P-256     │
│                  │                │          │        │                   │                                  │ scalars produce incorrect results                            │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24532                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29406 │          │        │                   │ 1.19.11, 1.20.6                  │ golang: net/http: insufficient sanitization of Host header   │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29406                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29409 │          │        │                   │ 1.19.12, 1.20.7, 1.21.0-rc.4     │ golang: crypto/tls: slow verification of certificate chains  │
│                  │                │          │        │                   │                                  │ containing large RSA keys                                    │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29409                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-39318 │          │        │                   │ 1.20.8, 1.21.1                   │ golang: html/template: improper handling of HTML-like        │
│                  │                │          │        │                   │                                  │ comments within script contexts                              │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39318                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-39319 │          │        │                   │                                  │ golang: html/template: improper handling of special tags     │
│                  │                │          │        │                   │                                  │ within script contexts                                       │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39319                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-39326 │          │        │                   │ 1.20.12, 1.21.5                  │ golang: net/http/internal: Denial of Service (DoS) via       │
│                  │                │          │        │                   │                                  │ Resource Consumption via HTTP requests...                    │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39326                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-45284 │          │        │                   │ 1.20.11, 1.21.4                  │ On Windows, The IsLocal function does not correctly detect   │
│                  │                │          │        │                   │                                  │ reserved de ......                                           │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45284                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-45289 │          │        │                   │ 1.21.8, 1.22.1                   │ golang: net/http/cookiejar: incorrect forwarding of          │
│                  │                │          │        │                   │                                  │ sensitive headers and cookies on HTTP redirect...            │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45289                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-45290 │          │        │                   │                                  │ golang: net/http: memory exhaustion in                       │
│                  │                │          │        │                   │                                  │ Request.ParseMultipartForm                                   │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45290                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-24783 │          │        │                   │                                  │ golang: crypto/x509: Verify panics on certificates with an   │
│                  │                │          │        │                   │                                  │ unknown public key algorithm...                              │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24783                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-24784 │          │        │                   │                                  │ golang: net/mail: comments in display names are incorrectly  │
│                  │                │          │        │                   │                                  │ handled                                                      │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24784                   │
│                  ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-24785 │          │        │                   │                                  │ golang: html/template: errors returned from MarshalJSON      │
│                  │                │          │        │                   │                                  │ methods may break template escaping                          │
│                  │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24785                   │
│                  ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-24788 │ UNKNOWN  │        │                   │ 1.21.10, 1.22.3                  │ https://avd.aquasec.com/nvd/cve-2024-24788                   │
└──────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘

@ujo-trackunit
Copy link

@abutaha Can we look into updating the dependencies?

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

Successfully merging this pull request may close these issues.

3 participants