VEX statements for go binary libraries no longer working #8130

bpfoster · 2024-12-18T18:23:52Z

bpfoster
Dec 18, 2024

Description

I have an image, that contains a go binary (Prometheus 3.0.1). The go binary has made use of a package (x/[email protected]) with a reported vulnerability.

In Trivy 0.57.1 in prior, an OpenVEX document like the following would correctly suppress the vulnerability:

{
  "@context": "https://openvex.dev/ns/v0.2.0",
  "@id": "https://openvex.dev/docs/public/vex-bbde64894a2272970ff4ff048686fc678c5bf9606358070ed9d3074e08bf2c94",
  "author": "my vuln scan tools",
  "timestamp": "2024-12-18T10:57:30.298812232-05:00",
  "version": 1,
  "tooling": "https://myvulncheck",
  "statements": [
    {
      "vulnerability": {
        "@id": "https://pkg.go.dev/vuln/GO-2024-3321",
        "name": "GO-2024-3321",
        "description": "Misuse of ServerConfig.PublicKeyCallback may cause authorization bypass in golang.org/x/crypto",
        "aliases": ["CVE-2024-45337", "GHSA-v778-237x-gjrc"]
      },
      "products": [
        {
          "@id": "pkg:golang/github.com/prometheus/[email protected]",
          "subcomponents": [{ "@id": "pkg:golang/golang.org/x/[email protected]" }]
        }
      ],
      "status": "not_affected",
      "justification": "vulnerable_code_not_present",
      "impact_statement": "Govulncheck determined that the vulnerable code isn't called"
    }
  ]
}

Trivy 0.57.1 output:

opt/bitnami/prometheus/bin/prometheus (gobinary)
================================================
Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)


Suppressed Vulnerabilities (Total: 1)
=====================================
┌─────────────────────┬────────────────┬──────────┬──────────────┬─────────────────────────────┬───────────────┐
│       Library       │ Vulnerability  │ Severity │    Status    │          Statement          │    Source     │
├─────────────────────┼────────────────┼──────────┼──────────────┼─────────────────────────────┼───────────────┤
│ golang.org/x/crypto │ CVE-2024-45337 │ CRITICAL │ not_affected │ vulnerable_code_not_present │ /tmp/vex.json │
└─────────────────────┴────────────────┴──────────┴──────────────┴─────────────────────────────┴───────────────┘

In Trivy 0.58.0, this is no longer being suppressed.

The commit which has introduced the change in behavior is 0627992.

In the NotAffected check, in Trivy 0.57.1, the product was prometheus, and the subcomponent was x/crypto. In Trivy 0.58.0, the product is now x/crypto and the subcomponent is nil.

I believe you want to keep the fidelity of product and subcomponent. I may have 2 go binaries in the image, both making use of x/[email protected]. One may make use of the vulnerable method, and the other may not. So I want the fidelity to say that one binary is not affected while the other is.

Desired Behavior

Vulnerability is marked as suppressed.

Actual Behavior

Vulnerability is no longer marked as suppressed.

Reproduction Steps

1. Save openvex file
2. Run trivy with vex file on image

Target

Container Image

Scanner

Vulnerability

Output Format

None

Mode

Standalone

Debug Output

$ trivy --debug i --vex /tmp/vex.json --show-suppressed bitnami/prometheus:3.0.1

24-12-18T13:21:03-05:00	DEBUG	Default config file "file_path=trivy.yaml" not found, using built in values
2024-12-18T13:21:03-05:00	DEBUG	Cache dir	dir="/home/me/.cache/trivy"
2024-12-18T13:21:03-05:00	DEBUG	Cache dir	dir="/home/me/.cache/trivy"
2024-12-18T13:21:03-05:00	DEBUG	Parsed severities	severities=[UNKNOWN LOW MEDIUM HIGH CRITICAL]
2024-12-18T13:21:03-05:00	DEBUG	Ignore statuses	statuses=[]
2024-12-18T13:21:03-05:00	DEBUG	DB update was skipped because the local DB is the latest
2024-12-18T13:21:03-05:00	DEBUG	DB info	schema=2 updated_at=2024-12-18T12:18:03.049456219Z next_update=2024-12-19T12:18:03.049455768Z downloaded_at=2024-12-18T13:56:58.154270904Z
2024-12-18T13:21:03-05:00	DEBUG	[pkg] Package types	types=[os library]
2024-12-18T13:21:03-05:00	DEBUG	[pkg] Package relationships	relationships=[unknown root workspace direct indirect]
2024-12-18T13:21:03-05:00	INFO	[vuln] Vulnerability scanning is enabled
2024-12-18T13:21:03-05:00	INFO	[secret] Secret scanning is enabled
2024-12-18T13:21:03-05:00	INFO	[secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2024-12-18T13:21:03-05:00	INFO	[secret] Please see also https://aquasecurity.github.io/trivy/v0.58/docs/scanner/secret#recommendation for faster secret detection
2024-12-18T13:21:03-05:00	DEBUG	Enabling misconfiguration scanners	scanners=[azure-arm cloudformation dockerfile helm kubernetes terraform terraformplan-json terraformplan-snapshot]
2024-12-18T13:21:03-05:00	DEBUG	Initializing scan cache...	type="fs"
2024-12-18T13:21:04-05:00	DEBUG	[secret] No secret config detected	config_path="trivy-secret.yaml"
2024-12-18T13:21:04-05:00	DEBUG	[secret] No secret config detected	config_path="trivy-secret.yaml"
2024-12-18T13:21:04-05:00	DEBUG	[image] Detected image ID	image_id="sha256:d1464376ea2b692e6ce06df45feb3a099fe5cd271207613f90c9016880fd01a7"
2024-12-18T13:21:04-05:00	DEBUG	[image] Detected diff ID	diff_ids=[sha256:f9fdfe18c956150cb100f63cf6de6f484882697f128bbdbd939e85014add419e]
2024-12-18T13:21:04-05:00	DEBUG	[image] Detected base layers	diff_ids=[]
2024-12-18T13:21:04-05:00	INFO	Detected OS	family="debian" version="12.8"
2024-12-18T13:21:04-05:00	INFO	[debian] Detecting vulnerabilities...	os_version="12" pkg_num=100
2024-12-18T13:21:04-05:00	INFO	Number of language-specific files	num=4
2024-12-18T13:21:04-05:00	INFO	[gobinary] Detecting vulnerabilities...
2024-12-18T13:21:04-05:00	DEBUG	[gobinary] Scanning packages for vulnerabilities	file_path=""
2024-12-18T13:21:04-05:00	INFO	[bitnami] Detecting vulnerabilities...
2024-12-18T13:21:04-05:00	DEBUG	[bitnami] Scanning packages for vulnerabilities	file_path="opt/bitnami/prometheus"
2024-12-18T13:21:04-05:00	DEBUG	[gobinary] Scanning packages for vulnerabilities	file_path="opt/bitnami/prometheus/bin/prometheus"
2024-12-18T13:21:04-05:00	DEBUG	[gobinary] Scanning packages for vulnerabilities	file_path="opt/bitnami/prometheus/bin/promtool"
2024-12-18T13:21:04-05:00	WARN	Using severities from other vendors for some vulnerabilities. Read https://aquasecurity.github.io/trivy/v0.58/docs/scanner/vulnerability#severity-selection for details.
2024-12-18T13:21:04-05:00	DEBUG	Specified ignore file does not exist	file=".trivyignore"

bitnami/prometheus:3.0.1 (debian 12.8)

Total: 83 (UNKNOWN: 0, LOW: 64, MEDIUM: 14, HIGH: 4, CRITICAL: 1)

┌────────────────────┬─────────────────────┬──────────┬──────────────┬───────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│      Library       │    Vulnerability    │ Severity │    Status    │   Installed Version   │ Fixed Version │                            Title                             │
├────────────────────┼─────────────────────┼──────────┼──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apt                │ CVE-2011-3374       │ LOW      │ affected     │ 2.6.1                 │               │ It was found that apt-key in apt, all versions, do not       │
│                    │                     │          │              │                       │               │ correctly...                                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bash               │ TEMP-0841856-B18BAF │          │              │ 5.2.15-2+b7           │               │ [Privilege escalation possible to other user than root]      │
│                    │                     │          │              │                       │               │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │
│                    │                     │          │              │                       │               │ 8BAF                                                         │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils           │ CVE-2022-0563       │          │              │ 1:2.38.1-5+deb12u2    │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          ├──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils          │ CVE-2016-2781       │          │ will_not_fix │ 9.1-1                 │               │ coreutils: Non-privileged session can escape to the parent   │
│                    │                     │          │              │                       │               │ session in chroot                                            │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
│                    ├─────────────────────┤          ├──────────────┤                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2017-18018      │          │ affected     │                       │               │ coreutils: race condition vulnerability in chown and chgrp   │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2017-18018                   │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base        │ CVE-2022-27943      │          │              │ 12.2.0-14             │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                       │               │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4039       │          │              │                       │               │ gcc: -fstack-protector fails to guard dynamic stack          │
│                    │                     │          │              │                       │               │ allocations on ARM64                                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv               │ CVE-2022-3219       │          │              │ 2.2.40-1.1            │               │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                       │               │ compressed packets                                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0      │ CVE-2011-3374       │          │              │ 2.6.1                 │               │ It was found that apt-key in apt, all versions, do not       │
│                    │                     │          │              │                       │               │ correctly...                                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1          │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u2      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin           │ CVE-2010-4756       │          │              │ 2.36-9+deb12u9        │               │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                       │               │ memory consumption due to...                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                       │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                       │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                       │               │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                       │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                       │               │ because of...                                                │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                       │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                       │               │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                       │               │ pthread_created thread                                       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                       │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                       │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libc6              │ CVE-2010-4756       │          │              │                       │               │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                       │               │ memory consumption due to...                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                       │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                       │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                       │               │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                       │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                       │               │ because of...                                                │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                       │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                       │               │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                       │               │ pthread_created thread                                       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                       │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                       │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1          │ CVE-2022-27943      │          │              │ 12.2.0-14             │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                       │               │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4039       │          │              │                       │               │ gcc: -fstack-protector fails to guard dynamic stack          │
│                    │                     │          │              │                       │               │ allocations on ARM64                                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
├────────────────────┼─────────────────────┼──────────┼──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20        │ CVE-2024-2236       │ MEDIUM   │ fix_deferred │ 1.10.1-3              │               │ libgcrypt: vulnerable to Marvin Attack                       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-2236                    │
│                    ├─────────────────────┼──────────┼──────────────┤                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-6829       │ LOW      │ affected     │                       │               │ libgcrypt: ElGamal implementation doesn't have semantic      │
│                    │                     │          │              │                       │               │ security due to incorrectly encoded plaintexts...            │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2018-6829                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30        │ CVE-2011-3389       │          │              │ 3.7.9-2+deb12u3       │               │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS    │
│                    │                     │          │              │                       │               │ (BEAST)                                                      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-3389                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1          │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u2      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6       │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                 │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules     │ CVE-2024-10041      │          │              │ 1.5.2-6+deb12u1       │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                       │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                       │               │ namespace                                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules-bin │ CVE-2024-10041      │          │              │                       │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                       │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                       │               │ namespace                                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-runtime     │ CVE-2024-10041      │          │              │                       │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                       │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                       │               │ namespace                                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam0g           │ CVE-2024-10041      │          │              │                       │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                       │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                       │               │ namespace                                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libperl5.36        │ CVE-2023-31484      │ HIGH     │              │ 5.36.0-7+deb12u1      │               │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                       │               │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                       │               │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                       │               │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libproc2-0         │ CVE-2023-4016       │          │              │ 2:4.0.2-3             │               │ procps: ps buffer overflow                                   │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4016                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1      │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u2      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6         │ CVE-2022-27943      │          │              │ 12.2.0-14             │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                       │               │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4039       │          │              │                       │               │ gcc: -fstack-protector fails to guard dynamic stack          │
│                    │                     │          │              │                       │               │ allocations on ARM64                                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0        │ CVE-2013-4392       │          │              │ 252.31-1~deb12u1      │               │ systemd: TOCTOU race condition when updating file            │
│                    │                     │          │              │                       │               │ permissions and SELinux security contexts...                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31437      │          │              │                       │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                       │               │ modify a...                                                  │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31438      │          │              │                       │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                       │               │ truncate a...                                                │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31439      │          │              │                       │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                       │               │ modify the...                                                │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6          │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                 │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1           │ CVE-2013-4392       │ LOW      │              │ 252.31-1~deb12u1      │               │ systemd: TOCTOU race condition when updating file            │
│                    │                     │          │              │                       │               │ permissions and SELinux security contexts...                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31437      │          │              │                       │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                       │               │ modify a...                                                  │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31438      │          │              │                       │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                       │               │ truncate a...                                                │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31439      │          │              │                       │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                       │               │ modify the...                                                │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1           │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u2      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login              │ CVE-2023-4641       │ MEDIUM   │              │ 1:4.13+dfsg1-1+b1     │               │ shadow-utils: possible password leak during passwd(1) change │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
│                    ├─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2007-5686       │ LOW      │              │                       │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                    │                     │          │              │                       │               │ the /var/lo ......                                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-29383      │          │              │                       │               │ shadow: Improper input validation in shadow-utils package    │
│                    │                     │          │              │                       │               │ utility chfn                                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0628843-DBAD28 │          │              │                       │               │ [more related to CVE-2005-4890]                              │
│                    │                     │          │              │                       │               │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│                    │                     │          │              │                       │               │ AD28                                                         │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ mount              │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u2      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base       │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                 │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd             │ CVE-2023-4641       │          │              │ 1:4.13+dfsg1-1+b1     │               │ shadow-utils: possible password leak during passwd(1) change │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
│                    ├─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2007-5686       │ LOW      │              │                       │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                    │                     │          │              │                       │               │ the /var/lo ......                                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-29383      │          │              │                       │               │ shadow: Improper input validation in shadow-utils package    │
│                    │                     │          │              │                       │               │ utility chfn                                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0628843-DBAD28 │          │              │                       │               │ [more related to CVE-2005-4890]                              │
│                    │                     │          │              │                       │               │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│                    │                     │          │              │                       │               │ AD28                                                         │
├────────────────────┼─────────────────────┼──────────┤              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl               │ CVE-2023-31484      │ HIGH     │              │ 5.36.0-7+deb12u1      │               │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                       │               │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                       │               │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                       │               │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base          │ CVE-2023-31484      │ HIGH     │              │                       │               │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                       │               │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                       │               │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                       │               │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-modules-5.36  │ CVE-2023-31484      │ HIGH     │              │                       │               │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                       │               │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                       │               │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                       │               │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ procps             │ CVE-2023-4016       │          │              │ 2:4.0.2-3             │               │ procps: ps buffer overflow                                   │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-4016                    │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ sysv-rc            │ TEMP-0517018-A83CE6 │          │              │ 3.06-4                │               │ [sysvinit: no-root option in expert installer exposes        │
│                    │                     │          │              │                       │               │ locally exploitable security flaw]                           │
│                    │                     │          │              │                       │               │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │
│                    │                     │          │              │                       │               │ 3CE6                                                         │
├────────────────────┤                     │          │              │                       ├───────────────┤                                                              │
│ sysvinit-utils     │                     │          │              │                       │               │                                                              │
│                    │                     │          │              │                       │               │                                                              │
│                    │                     │          │              │                       │               │                                                              │
│                    │                     │          │              │                       │               │                                                              │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar                │ CVE-2005-2541       │          │              │ 1.34+dfsg-1.2+deb12u1 │               │ tar: does not properly warn the user when extracting setuid  │
│                    │                     │          │              │                       │               │ or setgid...                                                 │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
│                    ├─────────────────────┤          │              │                       ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0290435-0B57B5 │          │              │                       │               │ [tar's rmt command may have undesired side effects]          │
│                    │                     │          │              │                       │               │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │
│                    │                     │          │              │                       │               │ 57B5                                                         │
├────────────────────┼─────────────────────┤          │              ├───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux         │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u2      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                       │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┤                     │          │              │                       ├───────────────┤                                                              │
│ util-linux-extra   │                     │          │              │                       │               │                                                              │
│                    │                     │          │              │                       │               │                                                              │
│                    │                     │          │              │                       │               │                                                              │
├────────────────────┼─────────────────────┼──────────┼──────────────┼───────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g             │ CVE-2023-45853      │ CRITICAL │ will_not_fix │ 1:1.2.13.dfsg-1       │               │ zlib: integer overflow and resultant heap-based buffer       │
│                    │                     │          │              │                       │               │ overflow in zipOpenNewFileInZip4_6                           │
│                    │                     │          │              │                       │               │ https://avd.aquasec.com/nvd/cve-2023-45853                   │
└────────────────────┴─────────────────────┴──────────┴──────────────┴───────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
2024-12-18T13:21:04-05:00	INFO	Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

 (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1)

┌──────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────┐
│             Library              │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                         Title                          │
├──────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────┤
│ golang.org/x/crypto (prometheus) │ CVE-2024-45337 │ CRITICAL │ fixed  │ v0.28.0           │ 0.31.0        │ golang.org/x/crypto/ssh: Misuse of                     │
│                                  │                │          │        │                   │               │ ServerConfig.PublicKeyCallback may cause authorization │
│                                  │                │          │        │                   │               │ bypass in golang.org/x/crypto                          │
│                                  │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-45337             │
└──────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────┘

opt/bitnami/prometheus/bin/prometheus (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1)

┌─────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                         Title                          │
├─────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2024-45337 │ CRITICAL │ fixed  │ v0.28.0           │ 0.31.0        │ golang.org/x/crypto/ssh: Misuse of                     │
│                     │                │          │        │                   │               │ ServerConfig.PublicKeyCallback may cause authorization │
│                     │                │          │        │                   │               │ bypass in golang.org/x/crypto                          │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-45337             │
└─────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────┘

opt/bitnami/prometheus/bin/promtool (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1)

┌─────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                         Title                          │
├─────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2024-45337 │ CRITICAL │ fixed  │ v0.28.0           │ 0.31.0        │ golang.org/x/crypto/ssh: Misuse of                     │
│                     │                │          │        │                   │               │ ServerConfig.PublicKeyCallback may cause authorization │
│                     │                │          │        │                   │               │ bypass in golang.org/x/crypto                          │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-45337             │
└─────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────┘

Operating System

Linux RedHat 8

Version

Version: 0.58.0
Vulnerability DB:
  Version: 2
  UpdatedAt: 2024-12-18 12:18:03.049456219 +0000 UTC
  NextUpdate: 2024-12-19 12:18:03.049455768 +0000 UTC
  DownloadedAt: 2024-12-18 18:23:02.562330445 +0000 UTC

Checklist

Run trivy clean --all
Read the troubleshooting

knqyf263 · 2024-12-19T05:29:49Z

knqyf263
Dec 19, 2024
Maintainer

Thanks for reporting. We're working on it.
#8102

0 replies

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

VEX statements for go binary libraries no longer working #8130

{{title}}

{{editor}}'s edit

{{editor}}'s edit

Replies: 1 comment

{{title}}

Select a reply

VEX statements for go binary libraries no longer working #8130

bpfoster Dec 18, 2024

Description

Desired Behavior

Actual Behavior

Reproduction Steps

Target

Scanner

Output Format

Mode

Debug Output

Operating System

Version

Checklist

Replies: 1 comment

knqyf263 Dec 19, 2024 Maintainer

bpfoster
Dec 18, 2024

knqyf263
Dec 19, 2024
Maintainer