Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Update several, sometimes year old go dependencies with well-known CVEs #1392

Open
phoehnel opened this issue Jan 31, 2024 · 2 comments
Open

Update several, sometimes year old go dependencies with well-known CVEs #1392

phoehnel opened this issue Jan 31, 2024 · 2 comments
Labels
bug Something isn't working

Comments

@phoehnel
Copy link

phoehnel commented Jan 31, 2024
edited

Describe the bug

The latests terratest version 0.46.11 relies on sometimes year old versions of several go-sdks for which security scanners report well-known CVEs. This should probably be updated.

To Reproduce

  • download terratest 0.46.11 + dependencies on a plain ubuntu22.04 docker-image
  • use trivy to scan the images for CVEs
root/go/pkg/mod/cloud.google.com/go/compute@v1.19.1/go.mod (gomod)
==================================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Installed Version │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.8.0             │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                   │                        │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.54.0            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/cloud.google.com/go/iam@v0.13.0/go.mod (gomod)
==============================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Installed Version │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.7.0             │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                   │                        │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.53.0            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/cloud.google.com/go/storage@v1.28.1/go.mod (gomod)
==================================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │         Installed Version         │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.0.0-20221014081412-f15817d10f9b │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                                   │                        │ excessive work                                               │
│                        │                     │          │                                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.50.1                            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/cloud.google.com/go@v0.110.0/go.mod (gomod)
===========================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Installed Version │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.6.0             │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                   │                        │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.53.0            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/!azure/go-autorest/autorest/adal@v0.9.13/go.mod (gomod)
==================================================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20201002170205-7f63de1d35b0 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2019-9512  │          │ 0.0.0-20190404232315-eb5bcb51f2a3 │ 0.0.0-20190813141303-74dc4d7220e7 │ flood using PING frames results in unbounded memory growth   │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9512                    │
│                     ├────────────────┤          │                                   │                                   ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2019-9514  │          │                                   │                                   │ flood using HEADERS frames results in unbounded memory       │
│                     │                │          │                                   │                                   │ growth                                                       │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9514                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-33194 │          │                                   │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.0                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/!azure/go-autorest/autorest/azure/auth@v0.5.8/go.mod (gomod)
=======================================================================================
Total: 4 (HIGH: 4, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2021-43565 │ HIGH     │ 0.0.0-20210513164829-c07d793c2f9a │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2021-33194 │          │ 0.0.0-20210226172049-e18ecbb05110 │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.3                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/!azure/go-autorest/autorest/azure/cli@v0.4.2/go.mod (gomod)
======================================================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20201002170205-7f63de1d35b0 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2019-9512  │          │ 0.0.0-20190404232315-eb5bcb51f2a3 │ 0.0.0-20190813141303-74dc4d7220e7 │ flood using PING frames results in unbounded memory growth   │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9512                    │
│                     ├────────────────┤          │                                   │                                   ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2019-9514  │          │                                   │                                   │ flood using HEADERS frames results in unbounded memory       │
│                     │                │          │                                   │                                   │ growth                                                       │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9514                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-33194 │          │                                   │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.0                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/!azure/go-autorest/autorest@v0.11.20/go.mod (gomod)
==============================================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20201002170205-7f63de1d35b0 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2019-9512  │          │ 0.0.0-20190404232315-eb5bcb51f2a3 │ 0.0.0-20190813141303-74dc4d7220e7 │ flood using PING frames results in unbounded memory growth   │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9512                    │
│                     ├────────────────┤          │                                   │                                   ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2019-9514  │          │                                   │                                   │ flood using HEADERS frames results in unbounded memory       │
│                     │                │          │                                   │                                   │ growth                                                       │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9514                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-33194 │          │                                   │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.0                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/aws/aws-sdk-go@v1.44.122/go.mod (gomod)
==================================================================
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │         Installed Version         │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ 0.0.0-20220127200216-cd36cc0744dd │ 0.17.0        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │                                   │               │ excessive work (CVE-2023-44487)                              │
│                  │                │          │                                   │               │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
└──────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/googleapis/gax-go/v2@v2.7.1/go.mod (gomod)
=====================================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Installed Version │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.7.0             │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                   │                        │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.53.0            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/hashicorp/go-getter@v1.7.1/go.mod (gomod)
====================================================================
Total: 3 (HIGH: 3, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto    │ CVE-2021-43565      │ HIGH     │ 0.0.0-20210921155107-089bfa567519 │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├────────────────────────┼─────────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │          │ 0.1.0                             │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.50.1                            │ 1.56.3, 1.57.1, 1.58.3            │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                                   │                                   │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/hashicorp/hcl/v2@v2.9.1/go.mod (gomod)
=================================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20190426145343-a29dc8fdc734 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-7919  │          │                                   │ 0.0.0-20200124225646-8b5121be2f68 │ golang: Integer overflow on 32bit architectures via crafted  │
│                     │                │          │                                   │                                   │ certificate allows for denial...                             │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-7919                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-9283  │          │                                   │ 0.0.0-20200220183623-bac4c82f6975 │ golang.org/x/crypto: Processing of crafted ssh-ed25519       │
│                     │                │          │                                   │                                   │ public keys allows for panic                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-9283                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2021-33194 │          │ 0.0.0-20200301022130-244492dfa37a │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.5                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/hashicorp/terraform-json@v0.13.0/go.mod (gomod)
==========================================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20190308221718-c2843e01d9a2 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-7919  │          │                                   │ 0.0.0-20200124225646-8b5121be2f68 │ golang: Integer overflow on 32bit architectures via crafted  │
│                     │                │          │                                   │                                   │ certificate allows for denial...                             │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-7919                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-9283  │          │                                   │ 0.0.0-20200220183623-bac4c82f6975 │ golang.org/x/crypto: Processing of crafted ssh-ed25519       │
│                     │                │          │                                   │                                   │ public keys allows for panic                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-9283                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2021-33194 │          │ 0.0.0-20200301022130-244492dfa37a │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.5                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/tmccombs/hcl2json@v0.3.3/go.mod (gomod)
==================================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20190426145343-a29dc8fdc734 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-7919  │          │                                   │ 0.0.0-20200124225646-8b5121be2f68 │ golang: Integer overflow on 32bit architectures via crafted  │
│                     │                │          │                                   │                                   │ certificate allows for denial...                             │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-7919                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-9283  │          │                                   │ 0.0.0-20200220183623-bac4c82f6975 │ golang.org/x/crypto: Processing of crafted ssh-ed25519       │
│                     │                │          │                                   │                                   │ public keys allows for panic                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-9283                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2021-33194 │          │ 0.0.0-20200301022130-244492dfa37a │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.5                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/github.com/zclconf/go-cty@v1.9.1/go.mod (gomod)
===============================================================
Total: 7 (HIGH: 7, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20190308221718-c2843e01d9a2 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-7919  │          │                                   │ 0.0.0-20200124225646-8b5121be2f68 │ golang: Integer overflow on 32bit architectures via crafted  │
│                     │                │          │                                   │                                   │ certificate allows for denial...                             │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-7919                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-9283  │          │                                   │ 0.0.0-20200220183623-bac4c82f6975 │ golang.org/x/crypto: Processing of crafted ssh-ed25519       │
│                     │                │          │                                   │                                   │ public keys allows for panic                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-9283                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2021-33194 │          │ 0.0.0-20200301022130-244492dfa37a │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.5                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/go.opencensus.io@v0.24.0/go.mod (gomod)
=======================================================
Total: 6 (HIGH: 6, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto    │ CVE-2020-29652      │ HIGH     │ 0.0.0-20200622213623-75b288015ac9 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                        │                     │          │                                   │                                   │ dereference                                                  │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                        ├─────────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2021-43565      │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├────────────────────────┼─────────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2021-33194      │          │ 0.0.0-20201110031124-69a78807bb2b │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                        ├─────────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-39325      │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text      │ CVE-2021-38561      │          │ 0.3.3                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                        │                     │          │                                   │                                   │ leads to DoS                                                 │
│                        │                     │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
├────────────────────────┼─────────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.33.2                            │ 1.56.3, 1.57.1, 1.58.3            │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                                   │                                   │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/golang.org/x/crypto@v0.14.0/go.mod (gomod)
==========================================================
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ 0.10.0            │ 0.17.0        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │                   │               │ excessive work (CVE-2023-44487)                              │
│                  │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/golang.org/x/net@v0.17.0/go.mod (gomod)
=======================================================
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ 0.10.0            │ 0.17.0        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │                   │               │ excessive work (CVE-2023-44487)                              │
│                  │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/golang.org/x/oauth2@v0.8.0/go.mod (gomod)
=========================================================
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ 0.10.0            │ 0.17.0        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │                   │               │ excessive work (CVE-2023-44487)                              │
│                  │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/google.golang.org/api@v0.114.0/go.mod (gomod)
=============================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Installed Version │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.8.0             │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                   │                        │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.53.0            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/google.golang.org/appengine@v1.6.7/go.mod (gomod)
=================================================================
Total: 9 (HIGH: 9, CRITICAL: 0)
┌─────────────────────┬────────────────┬──────────┬───────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │         Installed Version         │           Fixed Version           │                            Title                             │
├─────────────────────┼────────────────┼──────────┼───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2020-29652 │ HIGH     │ 0.0.0-20190308221718-c2843e01d9a2 │ 0.0.0-20201216223049-8b5274cf687f │ crafted authentication request can lead to nil pointer       │
│                     │                │          │                                   │                                   │ dereference                                                  │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-29652                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-7919  │          │                                   │ 0.0.0-20200124225646-8b5121be2f68 │ golang: Integer overflow on 32bit architectures via crafted  │
│                     │                │          │                                   │                                   │ certificate allows for denial...                             │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-7919                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2020-9283  │          │                                   │ 0.0.0-20200220183623-bac4c82f6975 │ golang.org/x/crypto: Processing of crafted ssh-ed25519       │
│                     │                │          │                                   │                                   │ public keys allows for panic                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2020-9283                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-43565 │          │                                   │ 0.0.0-20211202192323-5770296d904e │ empty plaintext packet causes panic                          │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-43565                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2019-9512  │          │ 0.0.0-20190603091049-60506f45cf65 │ 0.0.0-20190813141303-74dc4d7220e7 │ flood using PING frames results in unbounded memory growth   │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9512                    │
│                     ├────────────────┤          │                                   │                                   ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2019-9514  │          │                                   │                                   │ flood using HEADERS frames results in unbounded memory       │
│                     │                │          │                                   │                                   │ growth                                                       │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2019-9514                    │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2021-33194 │          │                                   │ 0.0.0-20210520170846-37e1c6afe023 │ infinite loop in ParseFragment                               │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-33194                   │
│                     ├────────────────┤          │                                   ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2023-39325 │          │                                   │ 0.17.0                            │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                     │                │          │                                   │                                   │ excessive work (CVE-2023-44487)                              │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├─────────────────────┼────────────────┤          ├───────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/text   │ CVE-2021-38561 │          │ 0.3.2                             │ 0.3.7                             │ golang: out-of-bounds read in golang.org/x/text/language     │
│                     │                │          │                                   │                                   │ leads to DoS                                                 │
│                     │                │          │                                   │                                   │ https://avd.aquasec.com/nvd/cve-2021-38561                   │
└─────────────────────┴────────────────┴──────────┴───────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/google.golang.org/genproto@v0.0.0-20230410155749-daa745c078e1/go.mod (gomod)
============================================================================================
Total: 2 (HIGH: 2, CRITICAL: 0)
┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │    Vulnerability    │ Severity │ Installed Version │     Fixed Version      │                            Title                             │
├────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net       │ CVE-2023-39325      │ HIGH     │ 0.8.0             │ 0.17.0                 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                        │                     │          │                   │                        │ excessive work (CVE-2023-44487)                              │
│                        │                     │          │                   │                        │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
├────────────────────────┼─────────────────────┤          ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │          │ 1.54.0            │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability                     │
│                        │                     │          │                   │                        │ https://github.com/advisories/GHSA-m425-mq94-257g            │
└────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
root/go/pkg/mod/google.golang.org/grpc@v1.56.3/go.mod (gomod)
=============================================================
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                            Title                             │
├──────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ HIGH     │ 0.9.0             │ 0.17.0        │ golang: net/http, x/net/http2: rapid stream resets can cause │
│                  │                │          │                   │               │ excessive work (CVE-2023-44487)                              │
│                  │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
└──────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

Versions

  • Terratest version: 0.46.11
  • Environment details (Ubuntu 20.04, Windows 10, etc.): ubuntu22.04
@phoehnel phoehnel added the bug Something isn't working label Jan 31, 2024
@phoehnel phoehnel changed the title Update google-cloud-go dependencies Update several, sometimes year old go dependencies with well-known CVEs Jan 31, 2024
@denis256
Copy link
Member

denis256 commented Feb 5, 2024

Not sure if this is the right approach to scan for vulnerabilities since versions of transient dependencies are replaced with newer versions

For example, the mentioned golang.org/x/net@0.10.0 in the end is replaced by golang.org/x/net@v0.17.0
https://github.com/gruntwork-io/terratest/blob/master/go.mod#L40

@phoehnel
Copy link
Author

phoehnel commented Feb 22, 2024
edited

Hm ok @denis256, i get your point.

The thing is, that (at least in my case) those dependencies are downloaded whenever i run terratest.
This leads to:

  • A. higher waiting times on new machines due to all the packages being downloaded
  • B. Our corporate Firewall lately completely blocking us from using terratest since a nested dependency is a known malicious package.

Screenshot from the Firewall blocking downloading terratest unsing go test -v -timeout 60m -parallel 6:
image

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug Something isn't working
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@denis256 @phoehnel