juzhiyuan commented on issue #12461:
URL: https://github.com/apache/apisix/issues/12461#issuecomment-3113413503
`trivy image apache/apisix:3.13.0-ubuntu`
```
apache/apisix:3.13.0-ubuntu (ubuntu 24.04)
Total: 20 (UNKNOWN: 0, LOW: 11, MEDIUM: 9, HIGH: 0, CRITICAL: 0)
┌────────────────────┬────────────────┬──────────┬──────────┬─────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed
Version │ Fixed Version │ Title
│
├────────────────────┼────────────────┼──────────┼──────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ LOW │ affected │ 9.4-3ubuntu6
│ │ coreutils: Non-privileged session can escape to the
parent │
│ │ │ │ │
│ │ session in chroot
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2016-2781
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ │
2.4.4-2ubuntu17.3 │ │ gnupg: denial of service issue
(resource consumption) using │
│ │ │ │ │
│ │ compressed packets
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2022-3219
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2016-20013 │ │ │
2.39-0ubuntu8.5 │ │ sha256crypt and sha512crypt through
0.6 allow attackers to │
│ │ │ │ │
│ │ cause a denial of...
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2016-20013
│
├────────────────────┤ │ │ │
├───────────────┤
│
│ libc6 │ │ │ │
│ │
│
│ │ │ │ │
│ │
│
│ │ │ │ │
│ │
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20 │ CVE-2024-2236 │ │ │ 1.10.3-2build1
│ │ libgcrypt: vulnerable to Marvin Attack
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-2236
│
├────────────────────┼────────────────┼──────────┤
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules │ CVE-2024-10041 │ MEDIUM │ │
1.5.3-5ubuntu5.4 │ │ pam: libpam: Libpam vulnerable to
read hashed password │
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10041
│
│ ├────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10963 │ │ │
│ │ pam: Improper Hostname Interpretation in pam_access
Leads to │
│ │ │ │ │
│ │ Access Control Bypass
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10963
│
├────────────────────┼────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules-bin │ CVE-2024-10041 │ │ │
│ │ pam: libpam: Libpam vulnerable to read hashed
password │
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10041
│
│ ├────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10963 │ │ │
│ │ pam: Improper Hostname Interpretation in pam_access
Leads to │
│ │ │ │ │
│ │ Access Control Bypass
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10963
│
├────────────────────┼────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-runtime │ CVE-2024-10041 │ │ │
│ │ pam: libpam: Libpam vulnerable to read hashed
password │
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10041
│
│ ├────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10963 │ │ │
│ │ pam: Improper Hostname Interpretation in pam_access
Leads to │
│ │ │ │ │
│ │ Access Control Bypass
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10963
│
├────────────────────┼────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam0g │ CVE-2024-10041 │ │ │
│ │ pam: libpam: Libpam vulnerable to read hashed
password │
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10041
│
│ ├────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-10963 │ │ │
│ │ pam: Improper Hostname Interpretation in pam_access
Leads to │
│ │ │ │ │
│ │ Access Control Bypass
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-10963
│
├────────────────────┼────────────────┼──────────┤
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ LOW │ │
2:8.39-15build1 │ │ pcre: OP_KETRMAX feature in the match
function in │
│ │ │ │ │
│ │ pcre_exec.c
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2017-11164
│
│ ├────────────────┤ │ │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-20838 │ │ │
│ │ pcre: Buffer over-read in JIT when UTF is disabled
and \X │
│ │ │ │ │
│ │ or...
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2019-20838
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3t64 │ CVE-2024-41996 │ │ │
3.0.13-0ubuntu3.5 │ │ openssl: remote attackers (from the
client side) to trigger │
│ │ │ │ │
│ │ unnecessarily expensive server-side...
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-41996
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2024-56433 │ │ │
1:4.13+dfsg1-4ubuntu3.2 │ │ shadow-utils: Default subordinate ID
configuration in │
│ │ │ │ │
│ │ /etc/login.defs could lead to compromise
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-56433
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2024-41996 │ │ │
3.0.13-0ubuntu3.5 │ │ openssl: remote attackers (from the
client side) to trigger │
│ │ │ │ │
│ │ unnecessarily expensive server-side...
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-41996
│
├────────────────────┼────────────────┤ │
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2024-56433 │ │ │
1:4.13+dfsg1-4ubuntu3.2 │ │ shadow-utils: Default subordinate ID
configuration in │
│ │ │ │ │
│ │ /etc/login.defs could lead to compromise
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2024-56433
│
├────────────────────┼────────────────┼──────────┤
├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar │ CVE-2025-45582 │ MEDIUM │ │
1.35+dfsg-3build1 │ │ tar: Tar path traversal
│
│ │ │ │ │
│ │ https://avd.aquasec.com/nvd/cve-2025-45582
│
└────────────────────┴────────────────┴──────────┴──────────┴─────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
```
--
This is an automated message from the Apache Git Service.
To respond to the message, please log on to GitHub and use the
URL above to go to the specific comment.
To unsubscribe, e-mail: notifications-unsubscr...@apisix.apache.org
For queries about this service, please contact Infrastructure at:
us...@infra.apache.org
