Skip to content

chore: bump up deps to fix vulnerability #203

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 7 commits into
base: main
Choose a base branch
from
Open

chore: bump up deps to fix vulnerability #203

wants to merge 7 commits into from

Conversation

afdesk
Copy link
Collaborator

@afdesk afdesk commented Jun 11, 2025

Description

This PR bumps up Go version and some dependencies to fix known vulnerabilities.
Also it fixes mistakes in makefile.

Before:

$ trivy i ghcr.io/aquasecurity/node-collector:0.3.1
...
Report Summary

┌───────────────────────────────────────────────────────────────────────┬──────────┬─────────────────┬─────────┐
│                                Target                                 │   Type   │ Vulnerabilities │ Secrets │
├───────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ ghcr.io/aquasecurity/node-collector:0.3.1 (alpine 3.19_alpha20230901) │  alpine  │       24        │    -    │
├───────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ usr/local/bin/node-collector                                          │ gobinary │       10        │    -    │
└───────────────────────────────────────────────────────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


ghcr.io/aquasecurity/node-collector:0.3.1 (alpine 3.19_alpha20230901)

Total: 24 (UNKNOWN: 2, LOW: 2, MEDIUM: 16, HIGH: 4, CRITICAL: 0)

┌───────────────┬────────────────┬──────────┬────────┬──────────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
│    Library    │ Vulnerability  │ Severity │ Status │  Installed Version   │ Fixed Version │                            Title                            │
├───────────────┼────────────────┼──────────┼────────┼──────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ busybox       │ CVE-2023-42363 │ MEDIUM   │ fixed  │ 1.36.1-r6            │ 1.36.1-r27    │ busybox: use-after-free in awk                              │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42363                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42364 │          │        │                      │ 1.36.1-r30    │ busybox: use-after-free                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42364                  │
│               ├────────────────┤          │        │                      │               ├─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42365 │          │        │                      │               │ busybox: use-after-free                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42365                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42366 │          │        │                      │ 1.36.1-r25    │ busybox: A heap-buffer-overflow                             │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42366                  │
├───────────────┼────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│ busybox-binsh │ CVE-2023-42363 │          │        │                      │ 1.36.1-r27    │ busybox: use-after-free in awk                              │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42363                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42364 │          │        │                      │ 1.36.1-r30    │ busybox: use-after-free                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42364                  │
│               ├────────────────┤          │        │                      │               ├─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42365 │          │        │                      │               │ busybox: use-after-free                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42365                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42366 │          │        │                      │ 1.36.1-r25    │ busybox: A heap-buffer-overflow                             │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42366                  │
├───────────────┼────────────────┼──────────┤        ├──────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ libcrypto3    │ CVE-2024-12797 │ HIGH     │        │ 3.3.1-r0             │ 3.3.3-r0      │ openssl: RFC7250 handshakes with unauthenticated servers    │
│               │                │          │        │                      │               │ don't abort as expected                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-12797                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-6119  │          │        │                      │ 3.3.2-r0      │ openssl: Possible denial of service in X.509 name checks    │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-6119                   │
│               ├────────────────┼──────────┤        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-13176 │ MEDIUM   │        │                      │ 3.3.2-r5      │ openssl: Timing side-channel in ECDSA signature computation │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-13176                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-5535  │          │        │                      │ 3.3.1-r1      │ openssl: SSL_select_next_proto buffer overread              │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-5535                   │
│               ├────────────────┼──────────┤        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-9143  │ LOW      │        │                      │ 3.3.2-r3      │ openssl: Low-level invalid GF(2^m) parameters lead to OOB   │
│               │                │          │        │                      │               │ memory access                                               │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-9143                   │
├───────────────┼────────────────┼──────────┤        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│ libssl3       │ CVE-2024-12797 │ HIGH     │        │                      │ 3.3.3-r0      │ openssl: RFC7250 handshakes with unauthenticated servers    │
│               │                │          │        │                      │               │ don't abort as expected                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-12797                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-6119  │          │        │                      │ 3.3.2-r0      │ openssl: Possible denial of service in X.509 name checks    │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-6119                   │
│               ├────────────────┼──────────┤        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-13176 │ MEDIUM   │        │                      │ 3.3.2-r5      │ openssl: Timing side-channel in ECDSA signature computation │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-13176                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-5535  │          │        │                      │ 3.3.1-r1      │ openssl: SSL_select_next_proto buffer overread              │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-5535                   │
│               ├────────────────┼──────────┤        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2024-9143  │ LOW      │        │                      │ 3.3.2-r3      │ openssl: Low-level invalid GF(2^m) parameters lead to OOB   │
│               │                │          │        │                      │               │ memory access                                               │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2024-9143                   │
├───────────────┼────────────────┼──────────┤        ├──────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ musl          │ CVE-2025-26519 │ UNKNOWN  │        │ 1.2.5-r1             │ 1.2.5-r10     │ musl libc 0.9.13 through 1.2.5 before 1.2.6 has an          │
│               │                │          │        │                      │               │ out-of-bounds write ......                                  │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2025-26519                  │
├───────────────┤                │          │        ├──────────────────────┤               │                                                             │
│ musl-utils    │                │          │        │ 1.2.4_git20230717-r2 │               │                                                             │
│               │                │          │        │                      │               │                                                             │
│               │                │          │        │                      │               │                                                             │
├───────────────┼────────────────┼──────────┤        ├──────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ ssl_client    │ CVE-2023-42363 │ MEDIUM   │        │ 1.36.1-r6            │ 1.36.1-r27    │ busybox: use-after-free in awk                              │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42363                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42364 │          │        │                      │ 1.36.1-r30    │ busybox: use-after-free                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42364                  │
│               ├────────────────┤          │        │                      │               ├─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42365 │          │        │                      │               │ busybox: use-after-free                                     │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42365                  │
│               ├────────────────┤          │        │                      ├───────────────┼─────────────────────────────────────────────────────────────┤
│               │ CVE-2023-42366 │          │        │                      │ 1.36.1-r25    │ busybox: A heap-buffer-overflow                             │
│               │                │          │        │                      │               │ https://avd.aquasec.com/nvd/cve-2023-42366                  │
└───────────────┴────────────────┴──────────┴────────┴──────────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘

usr/local/bin/node-collector (gobinary)

Total: 10 (UNKNOWN: 0, LOW: 0, MEDIUM: 9, HIGH: 1, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├──────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2025-22870 │ MEDIUM   │ fixed  │ v0.23.0           │ 0.36.0                       │ golang.org/x/net/proxy: golang.org/x/net/http/httpproxy:     │
│                  │                │          │        │                   │                              │ HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net    │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-22870                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2025-22872 │          │        │                   │ 0.38.0                       │ golang.org/x/net/html: Incorrect Neutralization of Input     │
│                  │                │          │        │                   │                              │ During Web Page Generation in x/net in...                    │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-22872                   │
├──────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib           │ CVE-2024-34156 │ HIGH     │        │ v1.22.4           │ 1.22.7, 1.23.1               │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│                  │                │          │        │                   │                              │ which contains deeply nested structures...                   │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
│                  ├────────────────┼──────────┤        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-24791 │ MEDIUM   │        │                   │ 1.21.12, 1.22.5              │ net/http: Denial of service due to improper 100-continue     │
│                  │                │          │        │                   │                              │ handling in net/http                                         │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-24791                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-34155 │          │        │                   │ 1.22.7, 1.23.1               │ go/parser: golang: Calling any of the Parse functions        │
│                  │                │          │        │                   │                              │ containing deeply nested literals...                         │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34155                   │
│                  ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-34158 │          │        │                   │                              │ go/build/constraint: golang: Calling Parse on a "// +build"  │
│                  │                │          │        │                   │                              │ build tag line with...                                       │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34158                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-45336 │          │        │                   │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                  │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                  ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                  │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                  │                │          │        │                   │                              │ bypass URI name...                                           │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2025-22866 │          │        │                   │ 1.22.12, 1.23.6, 1.24.0-rc.3 │ crypto/internal/nistec: golang: Timing sidechannel for P-256 │
│                  │                │          │        │                   │                              │ on ppc64le in crypto/internal/nistec                         │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-22866                   │
│                  ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2025-22871 │          │        │                   │ 1.23.8, 1.24.2               │ net/http: Request smuggling due to acceptance of invalid     │
│                  │                │          │        │                   │                              │ chunked data in net/http...                                  │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-22871                   │
└──────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘
a

After:

$ trivy i ghcr.io/aquasecurity/node-collector:dev --cache-backend=memory
...
Report Summary

┌─────────────────────────────────────────────────────────┬──────────┬─────────────────┬─────────┐
│                         Target                          │   Type   │ Vulnerabilities │ Secrets │
├─────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ ghcr.io/aquasecurity/node-collector:dev (alpine 3.22.0) │  alpine  │        0        │    -    │
├─────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ usr/local/bin/node-collector                            │ gobinary │        0        │    -    │
└─────────────────────────────────────────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)

Checklist

  • I've read the guidelines for contributing to this repository.
  • I've added tests that prove my fix is effective or that my feature works.
  • I've updated the documentation with the relevant information (if needed).
  • I've added usage information (if the PR introduces new options)
  • I've included a "before" and "after" example to the description (if the PR is a user interface change).

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.
1 participant
@afdesk