Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
fix: upgrade metallb to 0.14.8 (#904)
**What problem does this PR solve?**: The current metallb version 0.48.5 ships with ffrouting/frr image that has critical CVES ``` trivy image quay.io/frrouting/frr:9.0.2 2024-09-13T13:44:13.574-0700 INFO Vulnerability scanning is enabled 2024-09-13T13:44:13.574-0700 INFO Secret scanning is enabled 2024-09-13T13:44:13.574-0700 INFO If your scanning is slow, please try '--scanners vuln' to disable secret scanning 2024-09-13T13:44:13.574-0700 INFO Please see also https://aquasecurity.github.io/trivy/v0.48/docs/scanner/secret/#recommendation for faster secret detection 2024-09-13T13:44:15.718-0700 INFO Detected OS: alpine 2024-09-13T13:44:15.718-0700 INFO Detecting Alpine vulnerabilities... 2024-09-13T13:44:15.723-0700 INFO Number of language-specific files: 0 quay.io/frrouting/frr:9.0.2 (alpine 3.18.5) Total: 57 (UNKNOWN: 3, LOW: 5, MEDIUM: 37, HIGH: 9, CRITICAL: 3) ┌──────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ busybox │ CVE-2023-42363 │ MEDIUM │ fixed │ 1.36.1-r5 │ 1.36.1-r7 │ busybox: use-after-free in awk │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42364 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42366 │ │ │ │ 1.36.1-r6 │ busybox: A heap-buffer-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │ ├──────────────────────┼────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ busybox-binsh │ CVE-2023-42363 │ │ │ │ 1.36.1-r7 │ busybox: use-after-free in awk │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42364 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42366 │ │ │ │ 1.36.1-r6 │ busybox: A heap-buffer-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │ ├──────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ c-ares │ CVE-2024-25629 │ │ │ 1.19.1-r0 │ 1.19.1-r1 │ c-ares: Out of bounds read in ares__read_line() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25629 │ ├──────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libcrypto3 │ CVE-2023-6129 │ │ │ 3.1.4-r1 │ 3.1.4-r3 │ mysql: openssl: POLY1305 MAC implementation corrupts vector │ │ │ │ │ │ │ │ registers on PowerPC │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6129 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-6237 │ │ │ │ 3.1.4-r4 │ openssl: Excessive time spent checking invalid RSA public │ │ │ │ │ │ │ │ keys │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6237 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-0727 │ │ │ │ 3.1.4-r5 │ openssl: denial of service via null dereference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0727 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4603 │ │ │ │ 3.1.5-r0 │ openssl: Excessive time spent checking DSA keys and │ │ │ │ │ │ │ │ parameters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4741 │ │ │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-5535 │ │ │ │ │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6119 │ │ │ │ 3.1.7-r0 │ openssl: Possible denial of service in X.509 name checks │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6119 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2511 │ LOW │ │ │ 3.1.4-r6 │ openssl: Unbounded memory growth with session handling in │ │ │ │ │ │ │ │ TLSv1.3 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │ ├──────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libexpat │ CVE-2024-45490 │ CRITICAL │ │ 2.5.0-r1 │ 2.6.3-r0 │ libexpat: Negative Length Parsing Vulnerability in libexpat │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45490 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-45491 │ │ │ │ │ libexpat: Integer Overflow or Wraparound │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45491 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-45492 │ │ │ │ │ libexpat: integer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45492 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-52425 │ HIGH │ │ │ 2.6.0-r0 │ expat: parsing large tokens can trigger a denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52425 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-28757 │ │ │ │ 2.6.2-r0 │ expat: XML Entity Expansion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28757 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-52426 │ MEDIUM │ │ │ 2.6.0-r0 │ expat: recursive XML entity expansion vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52426 │ ├──────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ libssl3 │ CVE-2023-6129 │ │ │ 3.1.4-r1 │ 3.1.4-r3 │ mysql: openssl: POLY1305 MAC implementation corrupts vector │ │ │ │ │ │ │ │ registers on PowerPC │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6129 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-6237 │ │ │ │ 3.1.4-r4 │ openssl: Excessive time spent checking invalid RSA public │ │ │ │ │ │ │ │ keys │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-6237 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-0727 │ │ │ │ 3.1.4-r5 │ openssl: denial of service via null dereference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-0727 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4603 │ │ │ │ 3.1.5-r0 │ openssl: Excessive time spent checking DSA keys and │ │ │ │ │ │ │ │ parameters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4603 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4741 │ │ │ │ 3.1.6-r0 │ openssl: Use After Free with SSL_free_buffers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4741 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-5535 │ │ │ │ │ openssl: SSL_select_next_proto buffer overread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-5535 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6119 │ │ │ │ 3.1.7-r0 │ openssl: Possible denial of service in X.509 name checks │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6119 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2511 │ LOW │ │ │ 3.1.4-r6 │ openssl: Unbounded memory growth with session handling in │ │ │ │ │ │ │ │ TLSv1.3 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2511 │ ├──────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ python3 │ CVE-2024-6232 │ HIGH │ │ 3.11.6-r0 │ 3.11.10-r0 │ python: cpython: tarfile: ReDos via excessive backtracking │ │ │ │ │ │ │ │ while parsing header values │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6232 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-7592 │ │ │ │ │ cpython: python: Uncontrolled CPU resource consumption when │ │ │ │ │ │ │ │ in http.cookies module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-7592 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-27043 │ MEDIUM │ │ │ │ python: Parsing errors in email/_parseaddr.py lead to │ │ │ │ │ │ │ │ incorrect value in email address... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27043 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6923 │ │ │ │ │ cpython: python: email module doesn't properly quotes │ │ │ │ │ │ │ │ newlines in email headers, allowing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6923 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-8088 │ │ │ │ 3.11.8-r1 │ python: cpython: Iterating over a malicious ZIP file may │ │ │ │ │ │ │ │ lead to Denial... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-8088 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4032 │ LOW │ │ │ 3.11.10-r0 │ python: incorrect IPv4 and IPv6 private ranges │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4032 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2015-2104 │ UNKNOWN │ │ │ │ Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. │ │ │ │ │ │ │ │ ConsultIDs: none. Reason: This... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-2104 │ ├──────────────────────┼────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ python3-pyc │ CVE-2024-6232 │ HIGH │ │ │ │ python: cpython: tarfile: ReDos via excessive backtracking │ │ │ │ │ │ │ │ while parsing header values │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6232 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-7592 │ │ │ │ │ cpython: python: Uncontrolled CPU resource consumption when │ │ │ │ │ │ │ │ in http.cookies module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-7592 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-27043 │ MEDIUM │ │ │ │ python: Parsing errors in email/_parseaddr.py lead to │ │ │ │ │ │ │ │ incorrect value in email address... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27043 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6923 │ │ │ │ │ cpython: python: email module doesn't properly quotes │ │ │ │ │ │ │ │ newlines in email headers, allowing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6923 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-8088 │ │ │ │ 3.11.8-r1 │ python: cpython: Iterating over a malicious ZIP file may │ │ │ │ │ │ │ │ lead to Denial... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-8088 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4032 │ LOW │ │ │ 3.11.10-r0 │ python: incorrect IPv4 and IPv6 private ranges │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4032 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2015-2104 │ UNKNOWN │ │ │ │ Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. │ │ │ │ │ │ │ │ ConsultIDs: none. Reason: This... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-2104 │ ├──────────────────────┼────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ python3-pycache-pyc0 │ CVE-2024-6232 │ HIGH │ │ │ │ python: cpython: tarfile: ReDos via excessive backtracking │ │ │ │ │ │ │ │ while parsing header values │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6232 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-7592 │ │ │ │ │ cpython: python: Uncontrolled CPU resource consumption when │ │ │ │ │ │ │ │ in http.cookies module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-7592 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-27043 │ MEDIUM │ │ │ │ python: Parsing errors in email/_parseaddr.py lead to │ │ │ │ │ │ │ │ incorrect value in email address... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27043 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-6923 │ │ │ │ │ cpython: python: email module doesn't properly quotes │ │ │ │ │ │ │ │ newlines in email headers, allowing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6923 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-8088 │ │ │ │ 3.11.8-r1 │ python: cpython: Iterating over a malicious ZIP file may │ │ │ │ │ │ │ │ lead to Denial... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-8088 │ │ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2024-4032 │ LOW │ │ │ 3.11.10-r0 │ python: incorrect IPv4 and IPv6 private ranges │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4032 │ │ ├────────────────┼──────────┤ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2015-2104 │ UNKNOWN │ │ │ │ Rejected reason: DO NOT USE THIS CANDIDATE NUMBER. │ │ │ │ │ │ │ │ ConsultIDs: none. Reason: This... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-2104 │ ├──────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ sqlite-libs │ CVE-2023-7104 │ HIGH │ │ 3.41.2-r2 │ 3.41.2-r3 │ sqlite: heap-buffer-overflow at sessionfuzz │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-7104 │ ├──────────────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤ │ ssl_client │ CVE-2023-42363 │ MEDIUM │ │ 1.36.1-r5 │ 1.36.1-r7 │ busybox: use-after-free in awk │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42363 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42364 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42364 │ │ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42365 │ │ │ │ │ busybox: use-after-free │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42365 │ │ ├────────────────┤ │ │ ├───────────────┼─────────────────────────────────────────────────────────────┤ │ │ CVE-2023-42366 │ │ │ │ 1.36.1-r6 │ busybox: A heap-buffer-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42366 │ └──────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘ ``` Updates metallb to 0.14.8 which comes with frrouting/frr 9.0.1 which also have Critical CVES overriding the frrouging/frr 9.1.2 that is free of CVES ``` ❯ trivy image quay.io/frrouting/frr:9.1.2 2024-09-13T13:47:06.137-0700 INFO Vulnerability scanning is enabled 2024-09-13T13:47:06.138-0700 INFO Secret scanning is enabled 2024-09-13T13:47:06.138-0700 INFO If your scanning is slow, please try '--scanners vuln' to disable secret scanning 2024-09-13T13:47:06.138-0700 INFO Please see also https://aquasecurity.github.io/trivy/v0.48/docs/scanner/secret/#recommendation for faster secret detection 2024-09-13T13:47:07.457-0700 INFO Detected OS: alpine 2024-09-13T13:47:07.457-0700 INFO Detecting Alpine vulnerabilities... 2024-09-13T13:47:07.460-0700 INFO Number of language-specific files: 0 quay.io/frrouting/frr:9.1.2 (alpine 3.18.9) Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0) ``` **Which issue(s) this PR fixes**: Fixes # **How Has This Been Tested?**: <!-- Please describe the tests that you ran to verify your changes. Provide output from the tests and any manual steps needed to replicate the tests. --> **Special notes for your reviewer**: <!-- Use this to provide any additional information to the reviewers. This may include: - Best way to review the PR. - Where the author wants the most review attention on. - etc. -->
- Loading branch information
