Skip to content
Commit ed8fd34a authored by Reinhard Nägele's avatar Reinhard Nägele Committed by Derek Su
Browse files

Update Go to 1.22.5 

Here's a result from a Trivy scan. This change fixes these CVEs.

Total: 13 (UNKNOWN: 0, LOW: 0, MEDIUM: 11, HIGH: 1, CRITICAL: 1)

┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────┬──────────────────────────────────────────────────────────────┐
│          Library           │ Vulnerability  │ Severity │ Status │ Installed Version │  Fixed Version  │                            Title                             │
├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto        │ CVE-2023-48795 │ MEDIUM   │ fixed  │ v0.14.0           │ 0.17.0          │ ssh: Prefix truncation attack on Binary Packet Protocol      │
│                            │                │          │        │                   │                 │ (BPP)                                                        │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2023-48795                   │
├────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net           │ CVE-2023-45288 │          │        │ v0.17.0           │ 0.23.0          │ golang: net/http, x/net/http2: unlimited number of           │
│                            │                │          │        │                   │                 │ CONTINUATION frames causes DoS                               │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
├────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/protobuf │ CVE-2024-24786 │          │        │ v1.31.0           │ 1.33.0          │ golang-protobuf: encoding/protojson, internal/encoding/json: │
│                            │                │          │        │                   │                 │ infinite loop in protojson.Unmarshal when unmarshaling       │
│                            │                │          │        │                   │                 │ certain forms of...                                          │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24786                   │
├────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                     │ CVE-2024-24790 │ CRITICAL │        │ 1.21.4            │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for   │
│                            │                │          │        │                   │                 │ IPv4-mapped IPv6 addresses                                   │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24790                   │
│                            ├────────────────┼──────────┤        │                   ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45288 │ HIGH     │        │                   │ 1.21.9, 1.22.2  │ golang: net/http, x/net/http2: unlimited number of           │
│                            │                │          │        │                   │                 │ CONTINUATION frames causes DoS                               │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
│                            ├────────────────┼──────────┤        │                   ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-39326 │ MEDIUM   │        │                   │ 1.20.12, 1.21.5 │ golang: net/http/internal: Denial of Service (DoS) via       │
│                            │                │          │        │                   │                 │ Resource Consumption via HTTP requests...                    │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2023-39326                   │
│                            ├────────────────┤          │        │                   ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45289 │          │        │                   │ 1.21.8, 1.22.1  │ golang: net/http/cookiejar: incorrect forwarding of          │
│                            │                │          │        │                   │                 │ sensitive headers and cookies on HTTP redirect...            │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2023-45289                   │
│                            ├────────────────┤          │        │                   │                 ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2023-45290 │          │        │                   │                 │ golang: net/http: memory exhaustion in                       │
│                            │                │          │        │                   │                 │ Request.ParseMultipartForm                                   │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2023-45290                   │
│                            ├────────────────┤          │        │                   │                 ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24783 │          │        │                   │                 │ golang: crypto/x509: Verify panics on certificates with an   │
│                            │                │          │        │                   │                 │ unknown public key algorithm...                              │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24783                   │
│                            ├────────────────┤          │        │                   │                 ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24784 │          │        │                   │                 │ golang: net/mail: comments in display names are incorrectly  │
│                            │                │          │        │                   │                 │ handled                                                      │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24784                   │
│                            ├────────────────┤          │        │                   │                 ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24785 │          │        │                   │                 │ golang: html/template: errors returned from MarshalJSON      │
│                            │                │          │        │                   │                 │ methods may break template escaping                          │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24785                   │
│                            ├────────────────┤          │        │                   ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24789 │          │        │                   │ 1.21.11, 1.22.4 │ golang: archive/zip: Incorrect handling of certain ZIP files │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24789                   │
│                            ├────────────────┤          │        │                   ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-24791 │          │        │                   │ 1.21.12, 1.22.5 │ net/http: Denial of service due to improper 100-continue     │
│                            │                │          │        │                   │                 │ handling in net/http                                         │
│                            │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2024-24791                   │
└────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────┴──────────────────────────────────────────────────────────────┘
parent 4712284f
Hide whitespace changes
Inline Side-by-side
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment