Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Trivy Report and Request for Updating Packages #5301

Closed
steinwaywhw opened this issue Feb 4, 2025 · 1 comment
Closed

Trivy Report and Request for Updating Packages #5301

steinwaywhw opened this issue Feb 4, 2025 · 1 comment
Labels
security

Comments

@steinwaywhw
Copy link

Hi there,

I just happened to run Trivy on the Atlantis image ghcr.io/runatlantis/atlantis:v0.33-alpine and it comes back with the following report. I'm wondering if the team can help bump the versions of various libraries and binaries if possible? I know there are older versions of binaries you keep for people to use but maybe there are ones that you can still bump.

If not possible at all I'm wondering if you can consider distributing Atlantis for Terraform-{version}, OpenTofu-{version} etc separately?

Thanks and much appreciated!


tmp/atlantis:local (alpine 3.21.2)
==================================
Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)


usr/bin/git-lfs (gobinary)
==========================
Total: 4 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 1, CRITICAL: 1)

┌─────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├─────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2024-45337 │ CRITICAL │ fixed  │ v0.21.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                     │                │          │        │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                     │                │          │        │                   │                              │ bypass in golang.org/x/crypto                                │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2024-45338 │ HIGH     │        │ v0.23.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                     │                │          │        │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib              │ CVE-2024-45336 │ MEDIUM   │        │ v1.23.3           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                     │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                     ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                     │                │          │        │                   │                              │ bypass URI name...                                           │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└─────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/conftest (gobinary)
=================================
Total: 4 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 1, CRITICAL: 1)

┌─────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├─────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2024-45337 │ CRITICAL │ fixed  │ v0.27.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                     │                │          │        │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                     │                │          │        │                   │                              │ bypass in golang.org/x/crypto                                │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2024-45338 │ HIGH     │        │ v0.29.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                     │                │          │        │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib              │ CVE-2024-45336 │ MEDIUM   │        │ v1.23.2           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                     │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                     ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                     │                │          │        │                   │                              │ bypass URI name...                                           │
│                     │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└─────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/terraform (gobinary)
==================================
Total: 5 (UNKNOWN: 0, LOW: 0, MEDIUM: 3, HIGH: 1, CRITICAL: 1)

┌────────────────────────────┬─────────────────────┬──────────┬──────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│          Library           │    Vulnerability    │ Severity │  Status  │ Installed Version │        Fixed Version         │                            Title                             │
├────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/yamux │ GHSA-29qp-crvh-w22m │ MEDIUM   │ affected │ v0.1.1            │                              │ github.com/hashicorp/yamux's DefaultConfig has dangerous     │
│                            │                     │          │          │                   │                              │ defaults causing hung Read                                   │
│                            │                     │          │          │                   │                              │ https://github.com/advisories/GHSA-29qp-crvh-w22m            │
├────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto        │ CVE-2024-45337      │ CRITICAL │ fixed    │ v0.27.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                            │                     │          │          │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                            │                     │          │          │                   │                              │ bypass in golang.org/x/crypto                                │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net           │ CVE-2024-45338      │ HIGH     │          │ v0.29.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                            │                     │          │          │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
├────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                     │ CVE-2024-45336      │ MEDIUM   │          │ v1.23.3           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                            │                     │          │          │                   │                              │ sent after cross-domain redirect                             │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                            ├─────────────────────┤          │          │                   │                              ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-45341      │          │          │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                            │                     │          │          │                   │                              │ bypass URI name...                                           │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└────────────────────────────┴─────────────────────┴──────────┴──────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/terraform1.10.5 (gobinary)
========================================
Total: 5 (UNKNOWN: 0, LOW: 0, MEDIUM: 3, HIGH: 1, CRITICAL: 1)

┌────────────────────────────┬─────────────────────┬──────────┬──────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│          Library           │    Vulnerability    │ Severity │  Status  │ Installed Version │        Fixed Version         │                            Title                             │
├────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/yamux │ GHSA-29qp-crvh-w22m │ MEDIUM   │ affected │ v0.1.1            │                              │ github.com/hashicorp/yamux's DefaultConfig has dangerous     │
│                            │                     │          │          │                   │                              │ defaults causing hung Read                                   │
│                            │                     │          │          │                   │                              │ https://github.com/advisories/GHSA-29qp-crvh-w22m            │
├────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto        │ CVE-2024-45337      │ CRITICAL │ fixed    │ v0.27.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                            │                     │          │          │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                            │                     │          │          │                   │                              │ bypass in golang.org/x/crypto                                │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net           │ CVE-2024-45338      │ HIGH     │          │ v0.29.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                            │                     │          │          │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
├────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                     │ CVE-2024-45336      │ MEDIUM   │          │ v1.23.3           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                            │                     │          │          │                   │                              │ sent after cross-domain redirect                             │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                            ├─────────────────────┤          │          │                   │                              ├──────────────────────────────────────────────────────────────┤
│                            │ CVE-2024-45341      │          │          │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                            │                     │          │          │                   │                              │ bypass URI name...                                           │
│                            │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└────────────────────────────┴─────────────────────┴──────────┴──────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/terraform1.8.5 (gobinary)
=======================================
Total: 17 (UNKNOWN: 0, LOW: 1, MEDIUM: 8, HIGH: 6, CRITICAL: 2)

┌───────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├───────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/golang-jwt/jwt/v4          │ CVE-2024-51744 │ LOW      │ fixed  │ v4.4.2            │ 4.5.1                        │ golang-jwt: Bad documentation of error handling in           │
│                                       │                │          │        │                   │                              │ ParseWithClaims can lead to potentially...                   │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-51744                   │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/go-getter        │ CVE-2024-6257  │ HIGH     │        │ v1.7.4            │ 1.7.5                        │ hashicorp/go-getter: Arbitrary command execution through     │
│                                       │                │          │        │                   │                              │ local git config file                                        │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-6257                    │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/go-retryablehttp │ CVE-2024-6104  │ MEDIUM   │        │ v0.7.5            │ 0.7.7                        │ go-retryablehttp: url might write sensitive information to   │
│                                       │                │          │        │                   │                              │ log file                                                     │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-6104                    │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/go-slug          │ CVE-2025-0377  │ HIGH     │        │ v0.15.0           │ 0.16.3                       │ go-slug: HashiCorp go-slug Vulnerable to Zip Slip Attack     │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-0377                    │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto                   │ CVE-2024-45337 │ CRITICAL │        │ v0.21.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                                       │                │          │        │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                                       │                │          │        │                   │                              │ bypass in golang.org/x/crypto                                │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net                      │ CVE-2024-45338 │ HIGH     │        │ v0.23.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                                       │                │          │        │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/protobuf            │ CVE-2024-24786 │ MEDIUM   │        │ v1.31.0           │ 1.33.0                       │ golang-protobuf: encoding/protojson, internal/encoding/json: │
│                                       │                │          │        │                   │                              │ infinite loop in protojson.Unmarshal when unmarshaling       │
│                                       │                │          │        │                   │                              │ certain forms of...                                          │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-24786                   │
├───────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                                │ CVE-2024-24790 │ CRITICAL │        │ v1.22.1           │ 1.21.11, 1.22.4              │ golang: net/netip: Unexpected behavior from Is methods for   │
│                                       │                │          │        │                   │                              │ IPv4-mapped IPv6 addresses                                   │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-24790                   │
│                                       ├────────────────┼──────────┤        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2023-45288 │ HIGH     │        │                   │ 1.21.9, 1.22.2               │ golang: net/http, x/net/http2: unlimited number of           │
│                                       │                │          │        │                   │                              │ CONTINUATION frames causes DoS                               │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
│                                       ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-24788 │          │        │                   │ 1.22.3                       │ golang: net: malformed DNS message can cause infinite loop   │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-24788                   │
│                                       ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-34156 │          │        │                   │ 1.22.7, 1.23.1               │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│                                       │                │          │        │                   │                              │ which contains deeply nested structures...                   │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
│                                       ├────────────────┼──────────┤        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-24789 │ MEDIUM   │        │                   │ 1.21.11, 1.22.4              │ golang: archive/zip: Incorrect handling of certain ZIP files │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-24789                   │
│                                       ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-24791 │          │        │                   │ 1.21.12, 1.22.5              │ net/http: Denial of service due to improper 100-continue     │
│                                       │                │          │        │                   │                              │ handling in net/http                                         │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-24791                   │
│                                       ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-34155 │          │        │                   │ 1.22.7, 1.23.1               │ go/parser: golang: Calling any of the Parse functions        │
│                                       │                │          │        │                   │                              │ containing deeply nested literals...                         │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34155                   │
│                                       ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-34158 │          │        │                   │                              │ go/build/constraint: golang: Calling Parse on a "// +build"  │
│                                       │                │          │        │                   │                              │ build tag line with...                                       │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34158                   │
│                                       ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-45336 │          │        │                   │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                                       │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                                       ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                                       │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                                       │                │          │        │                   │                              │ bypass URI name...                                           │
│                                       │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└───────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/terraform1.9.8 (gobinary)
=======================================
Total: 7 (UNKNOWN: 0, LOW: 1, MEDIUM: 3, HIGH: 2, CRITICAL: 1)

┌──────────────────────────────┬─────────────────────┬──────────┬──────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│           Library            │    Vulnerability    │ Severity │  Status  │ Installed Version │        Fixed Version         │                            Title                             │
├──────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/golang-jwt/jwt/v4 │ CVE-2024-51744      │ LOW      │ fixed    │ v4.4.2            │ 4.5.1                        │ golang-jwt: Bad documentation of error handling in           │
│                              │                     │          │          │                   │                              │ ParseWithClaims can lead to potentially...                   │
│                              │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-51744                   │
├──────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/go-slug │ CVE-2025-0377       │ HIGH     │          │ v0.15.0           │ 0.16.3                       │ go-slug: HashiCorp go-slug Vulnerable to Zip Slip Attack     │
│                              │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-0377                    │
├──────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/yamux   │ GHSA-29qp-crvh-w22m │ MEDIUM   │ affected │ v0.1.1            │                              │ github.com/hashicorp/yamux's DefaultConfig has dangerous     │
│                              │                     │          │          │                   │                              │ defaults causing hung Read                                   │
│                              │                     │          │          │                   │                              │ https://github.com/advisories/GHSA-29qp-crvh-w22m            │
├──────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto          │ CVE-2024-45337      │ CRITICAL │ fixed    │ v0.21.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                              │                     │          │          │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                              │                     │          │          │                   │                              │ bypass in golang.org/x/crypto                                │
│                              │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├──────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net             │ CVE-2024-45338      │ HIGH     │          │ v0.23.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                              │                     │          │          │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                              │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
├──────────────────────────────┼─────────────────────┼──────────┤          ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                       │ CVE-2024-45336      │ MEDIUM   │          │ v1.22.7           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                              │                     │          │          │                   │                              │ sent after cross-domain redirect                             │
│                              │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                              ├─────────────────────┤          │          │                   │                              ├──────────────────────────────────────────────────────────────┤
│                              │ CVE-2024-45341      │          │          │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                              │                     │          │          │                   │                              │ bypass URI name...                                           │
│                              │                     │          │          │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└──────────────────────────────┴─────────────────────┴──────────┴──────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/tofu (gobinary)
=============================
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 1, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│           Library            │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├──────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/go-slug │ CVE-2025-0377  │ HIGH     │ fixed  │ v0.12.2           │ 0.16.3                       │ go-slug: HashiCorp go-slug Vulnerable to Zip Slip Attack     │
│                              │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-0377                    │
├──────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                       │ CVE-2024-45336 │ MEDIUM   │        │ v1.22.8           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                              │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                              │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                              ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                              │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                              │                │          │        │                   │                              │ bypass URI name...                                           │
│                              │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└──────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/tofu1.8.8 (gobinary)
==================================
Total: 3 (UNKNOWN: 0, LOW: 0, MEDIUM: 2, HIGH: 1, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│           Library            │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├──────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/hashicorp/go-slug │ CVE-2025-0377  │ HIGH     │ fixed  │ v0.12.2           │ 0.16.3                       │ go-slug: HashiCorp go-slug Vulnerable to Zip Slip Attack     │
│                              │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-0377                    │
├──────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                       │ CVE-2024-45336 │ MEDIUM   │        │ v1.22.8           │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                              │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                              │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                              ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                              │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                              │                │          │        │                   │                              │ bypass URI name...                                           │
│                              │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
└──────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘
@dosubot dosubot bot added the security label Feb 4, 2025
@X-Guardian
Copy link
Contributor

These are third party programs that are bundled with Atlantis for convenience. If you don't want them, then you can easily create your own image from the Atlantis one with these programs removed.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
security
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@steinwaywhw @X-Guardian