vulnerabilities found in dragonfly v2.0.9 images and source code

Narendra, Gudipati

unread,

Jun 7, 2023, 1:32:01 AM6/7/23

to dragonfly-...@googlegroups.com, Farooq, Mohammed, Broeder, Eddie

Hi Team,

We have found below vulnerabilities while we scan dragonfly v2.0.9 images (manager, scheduler and dfdaemon) and github source code.

Could you please check and update us if we have any fix for these CVEs or in next version are these fixed?

https://github.com/dragonflyoss/Dragonfly2/tree/release-2.0.9

go.mod (gomod)

Total: 3 (UNKNOWN: 0, LOW: 1, MEDIUM: 2, HIGH: 0, CRITICAL: 0)

┌───────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ 1.44.234 │ │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │

│ ├────────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2020-8912 │ LOW │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/gin-gonic/gin │ CVE-2023-29401 │ MEDIUM │ 1.9.0 │ 1.9.1 │ Gin Web Framework does not properly sanitize filename │

│ │ │ │ │ │ parameter of Context.FileAttachment function... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29401 │

└───────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

dfdaemon:v2.0.9 (alpine 3.16.4)

Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 4, CRITICAL: 0)

┌──────────────┬───────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├──────────────┼───────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ libcrypto1.1 │ CVE-2023-0464 │ HIGH │ 1.1.1t-r0 │ 1.1.1t-r1 │ Denial of service by excessive resource usage in verifying │

│ │ │ │ │ │ X509 policy constraints... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │

│ ├───────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-2650 │ │ │ 1.1.1u-r0 │ Possible DoS translating ASN.1 object identifiers │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │

│ ├───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-0465 │ MEDIUM │ │ 1.1.1t-r2 │ Invalid certificate policies in leaf certificates are │

│ │ │ │ │ │ silently ignored │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │

├──────────────┼───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ libssl1.1 │ CVE-2023-0464 │ HIGH │ │ 1.1.1t-r1 │ Denial of service by excessive resource usage in verifying │

│ │ │ │ │ │ X509 policy constraints... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │

│ ├───────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-2650 │ │ │ 1.1.1u-r0 │ Possible DoS translating ASN.1 object identifiers │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │

│ ├───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-0465 │ MEDIUM │ │ 1.1.1t-r2 │ Invalid certificate policies in leaf certificates are │

│ │ │ │ │ │ silently ignored │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │

└──────────────┴───────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

bin/grpc_health_probe (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────┤

│ golang.org/x/net │ CVE-2022-41723 │ HIGH │ v0.5.0 │ 0.7.0 │ avoid quadratic complexity in HPACK decoding │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │

└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────┘

opt/dragonfly/bin/dfget (gobinary)

Total: 4 (UNKNOWN: 0, LOW: 1, MEDIUM: 3, HIGH: 0, CRITICAL: 0)

┌───────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ v1.44.209 │ │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │

│ ├────────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2020-8912 │ LOW │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/gin-gonic/gin │ CVE-2023-26125 │ MEDIUM │ v1.8.2 │ 1.9.0 │ Improper Input Validation │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26125 │

│ ├────────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-29401 │ │ │ 1.9.1 │ Gin Web Framework does not properly sanitize filename │

│ │ │ │ │ │ parameter of Context.FileAttachment function... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29401 │

└───────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

scheduler:v2.0.9 (alpine 3.16.4)

Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 4, CRITICAL: 0)

┌──────────────┬───────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├──────────────┼───────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ libcrypto1.1 │ CVE-2023-0464 │ HIGH │ 1.1.1t-r0 │ 1.1.1t-r1 │ Denial of service by excessive resource usage in verifying │

│ │ │ │ │ │ X509 policy constraints... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │

│ ├───────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-2650 │ │ │ 1.1.1u-r0 │ Possible DoS translating ASN.1 object identifiers │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │

│ ├───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-0465 │ MEDIUM │ │ 1.1.1t-r2 │ Invalid certificate policies in leaf certificates are │

│ │ │ │ │ │ silently ignored │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │

├──────────────┼───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ libssl1.1 │ CVE-2023-0464 │ HIGH │ │ 1.1.1t-r1 │ Denial of service by excessive resource usage in verifying │

│ │ │ │ │ │ X509 policy constraints... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │

│ ├───────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-2650 │ │ │ 1.1.1u-r0 │ Possible DoS translating ASN.1 object identifiers │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │

│ ├───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-0465 │ MEDIUM │ │ 1.1.1t-r2 │ Invalid certificate policies in leaf certificates are │

│ │ │ │ │ │ silently ignored │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │

└──────────────┴───────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

bin/grpc_health_probe (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────┤

│ golang.org/x/net │ CVE-2022-41723 │ HIGH │ v0.5.0 │ 0.7.0 │ avoid quadratic complexity in HPACK decoding │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │

└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────┘

opt/dragonfly/bin/scheduler (gobinary)

Total: 4 (UNKNOWN: 0, LOW: 1, MEDIUM: 3, HIGH: 0, CRITICAL: 0)

┌───────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ v1.44.209 │ │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │

│ ├────────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2020-8912 │ LOW │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/gin-gonic/gin │ CVE-2023-26125 │ MEDIUM │ v1.8.2 │ 1.9.0 │ Improper Input Validation │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26125 │

│ ├────────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-29401 │ │ │ 1.9.1 │ Gin Web Framework does not properly sanitize filename │

│ │ │ │ │ │ parameter of Context.FileAttachment function... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29401 │

└───────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

/manager:v2.0.9 (alpine 3.16.4)

Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 4, CRITICAL: 0)

┌──────────────┬───────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├──────────────┼───────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ libcrypto1.1 │ CVE-2023-0464 │ HIGH │ 1.1.1t-r0 │ 1.1.1t-r1 │ Denial of service by excessive resource usage in verifying │

│ │ │ │ │ │ X509 policy constraints... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │

│ ├───────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-2650 │ │ │ 1.1.1u-r0 │ Possible DoS translating ASN.1 object identifiers │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │

│ ├───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-0465 │ MEDIUM │ │ 1.1.1t-r2 │ Invalid certificate policies in leaf certificates are │

│ │ │ │ │ │ silently ignored │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │

├──────────────┼───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ libssl1.1 │ CVE-2023-0464 │ HIGH │ │ 1.1.1t-r1 │ Denial of service by excessive resource usage in verifying │

│ │ │ │ │ │ X509 policy constraints... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0464 │

│ ├───────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-2650 │ │ │ 1.1.1u-r0 │ Possible DoS translating ASN.1 object identifiers │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2650 │

│ ├───────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-0465 │ MEDIUM │ │ 1.1.1t-r2 │ Invalid certificate policies in leaf certificates are │

│ │ │ │ │ │ silently ignored │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0465 │

└──────────────┴───────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

bin/grpc_health_probe (gobinary)

Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────┤

│ golang.org/x/net │ CVE-2022-41723 │ HIGH │ v0.5.0 │ 0.7.0 │ avoid quadratic complexity in HPACK decoding │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │

└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────┘

opt/dragonfly/bin/server (gobinary)

Total: 4 (UNKNOWN: 0, LOW: 1, MEDIUM: 3, HIGH: 0, CRITICAL: 0)

┌───────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐

│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/aws/aws-sdk-go │ CVE-2020-8911 │ MEDIUM │ v1.44.209 │ │ aws/aws-sdk-go: CBC padding oracle issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8911 │

│ ├────────────────┼──────────┤ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2020-8912 │ LOW │ │ │ aws-sdk-go: In-band key negotiation issue in AWS S3 Crypto │

│ │ │ │ │ │ SDK for golang... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8912 │

├───────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤

│ github.com/gin-gonic/gin │ CVE-2023-26125 │ MEDIUM │ v1.8.2 │ 1.9.0 │ Improper Input Validation │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26125 │

│ ├────────────────┤ │ ├───────────────┼────────────────────────────────────────────────────────────┤

│ │ CVE-2023-29401 │ │ │ 1.9.1 │ Gin Web Framework does not properly sanitize filename │

│ │ │ │ │ │ parameter of Context.FileAttachment function... │

│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29401 │

└───────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

Regards,

Narendra

Jim Ma

unread,

Jun 8, 2023, 11:33:58 PM6/8/23

to Narendra, Gudipati, dragonfly-...@googlegroups.com, Farooq, Mohammed, Broeder, Eddie

Hi Gudipati

I have checked the next version 2.1.0 in the main branch:

1. golang dependency has already been upgraded to non-CVE version.

2. grpc_health_probe has already been upgraded to v0.4.16 to fix CVE-2022-41723

The only non-fixed CVE is the base image alpine:3.16.4, currently, our golang binary doesn't depend on the CVE library. And the CVE has not fixed in official images: https://hub.docker.com/_/alpine/tags

In conclusion, the next version 2.1.0 does not include any high vulnerabilities.

Regards

Jim Ma

From Dragonfly Team

--
You received this message because you are subscribed to the Google Groups "Dragonfly Developers" group.
To unsubscribe from this group and stop receiving emails from it, send an email to dragonfly-develo...@googlegroups.com.
To view this discussion on the web visit https://groups.google.com/d/msgid/dragonfly-developers/BL3PR11MB6364A0AF7D5E54B311FEC9D0F353A%40BL3PR11MB6364.namprd11.prod.outlook.com.

Narendra, Gudipati

unread,

Jun 8, 2023, 11:43:34 PM6/8/23

to Jim Ma, dragonfly-...@googlegroups.com, Farooq, Mohammed, Broeder, Eddie

Hi Jim,

Thanks for the update!

Regards,

Narendra

Reply all

Reply to author

Forward