====== Trivy を使用して SBOM を作成する ======
\\
[[https://github.com/aquasecurity/trivy|{{:ma_series_tips:create_sbom:trivy_logo.png|Trivy}}]]
[[https://github.com/aquasecurity/trivy|Trivy]] というソフトを使用し、MA-シリーズの root filesystem から SBOM を生成することができます。
\\
===== Trivy のインストール =====
[[https://aquasecurity.github.io/trivy/v0.41/getting-started/installation/|Getting Started - Installation]] に従い、インストールします。
※ 現時点での最新バージョン v0.41.0 をインストールしていますが、適宜読み替えてください。
user1@jammy64-dev:~$ wget https://github.com/aquasecurity/trivy/releases/download/v0.41.0/trivy_0.41.0_Linux-64bit.deb
--2023-05-09 15:40:08-- https://github.com/aquasecurity/trivy/releases/download/v0.41.0/trivy_0.41.0_Linux-64bit.deb
Resolving github.com (github.com)... 20.27.177.113
Connecting to github.com (github.com)|20.27.177.113|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: https://objects.githubusercontent.com/github-production-release-asset-2e65be/180687624/8bfa74aa-6249-4531-b5a3-f4a65912a989?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20230509%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20230509T064009Z&X-Amz-Expires=300&X-Amz-Signature=2a38652ab06e5ce4e5ee922379d17a3f961df9e83bf762fbc29032701faeb63a&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=180687624&response-content-disposition=attachment%3B%20filename%3Dtrivy_0.41.0_Linux-64bit.deb&response-content-type=application%2Foctet-stream [following]
--2023-05-09 15:40:09-- https://objects.githubusercontent.com/github-production-release-asset-2e65be/180687624/8bfa74aa-6249-4531-b5a3-f4a65912a989?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20230509%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20230509T064009Z&X-Amz-Expires=300&X-Amz-Signature=2a38652ab06e5ce4e5ee922379d17a3f961df9e83bf762fbc29032701faeb63a&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=180687624&response-content-disposition=attachment%3B%20filename%3Dtrivy_0.41.0_Linux-64bit.deb&response-content-type=application%2Foctet-stream
Resolving objects.githubusercontent.com (objects.githubusercontent.com)... 185.199.108.133, 185.199.109.133, 185.199.110.133, ...
Connecting to objects.githubusercontent.com (objects.githubusercontent.com)|185.199.108.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 53147460 (51M) [application/octet-stream]
Saving to: ‘trivy_0.41.0_Linux-64bit.deb’
trivy_0.41.0_Linux-64bit.deb 100%[==============================================>] 50.68M 19.3MB/s in 2.6s
2023-05-09 15:40:12 (19.3 MB/s) - ‘trivy_0.41.0_Linux-64bit.deb’ saved [53147460/53147460]
user1@jammy64-dev:~$
user1@jammy64-dev:~$ sudo dpkg -i trivy_0.41.0_Linux-64bit.deb
[sudo] password for user1:
Selecting previously unselected package trivy.
(Reading database ... 66017 files and directories currently installed.)
Preparing to unpack trivy_0.41.0_Linux-64bit.deb ...
Unpacking trivy (0.41.0) ...
Setting up trivy (0.41.0) ...
user1@jammy64-dev:~$
user1@jammy64-dev:~$ trivy --version
Version: 0.41.0
user1@jammy64-dev:~$
\\
===== root filesystem から SBOM を生成 =====
ファームウェアを作成するベースの root filesystem を展開したディレクトリを指定し、SPDX JSON 形式で SBOM ファイルを生成します。
root@jammy64-dev:/home/user1/work/MAX3xx# trivy -q rootfs max3xx_jammy_rootfs/ --format spdx-json|jq . > max3xx_jammy_v6_0_0_sbom.json
root@jammy64-dev:/home/user1/work/MAX3xx# ls -l max3xx_jammy_v6_0_0_sbom.json
-rw-r--r-- 1 root root 324755 May 9 15:45 max3xx_jammy_v6_0_0_sbom.json
\\
生成された SBOM ファイルの先頭 50 行分を見てみます。
root@jammy64-dev:/home/user1/work/MAX3xx# head -50 max3xx_jammy_v6_0_0_sbom.json
{
"spdxVersion": "SPDX-2.3",
"dataLicense": "CC0-1.0",
"SPDXID": "SPDXRef-DOCUMENT",
"name": "metis",
"documentNamespace": "http://aquasecurity.github.io/trivy/filesystem/metis-c32fa95a-4b34-41dd-94a1-f9b5d4731066",
"creationInfo": {
"licenseListVersion": "",
"creators": [
"Organization: aquasecurity",
"Tool: trivy-0.41.0"
],
"created": "2023-05-09T06:45:43Z"
},
"packages": [
{
"name": "adduser",
"SPDXID": "SPDXRef-Package-34deaa096ed34b29",
"versionInfo": "3.118ubuntu5",
"supplier": "Organization: Ubuntu Developers ",
"downloadLocation": "NONE",
"sourceInfo": "built package from: adduser 3.118ubuntu5",
"licenseConcluded": "GPL-2.0-only",
"licenseDeclared": "GPL-2.0-only",
"copyrightText": "",
"externalRefs": [
{
"referenceCategory": "PACKAGE-MANAGER",
"referenceType": "purl",
"referenceLocator": "pkg:deb/ubuntu/adduser@3.118ubuntu5?arch=all&distro=ubuntu-22.04"
}
],
"attributionTexts": [
"PkgID: adduser@3.118ubuntu5"
],
"primaryPackagePurpose": "LIBRARY"
},
{
"name": "apt",
"SPDXID": "SPDXRef-Package-d0ca1f264da0ea99",
"versionInfo": "2.4.9",
"supplier": "Organization: Ubuntu Developers ",
"downloadLocation": "NONE",
"sourceInfo": "built package from: apt 2.4.9",
"licenseConcluded": "GPL-2.0-only",
"licenseDeclared": "GPL-2.0-only",
"copyrightText": "",
"externalRefs": [
{
"referenceCategory": "PACKAGE-MANAGER",
root@jammy64-dev:/home/user1/work/MAX3xx#
インストールされているパッケージの情報から、各パッケージの名前やライセンスなどが抽出されていることがわかります。
\\
===== SBOM ファイルをスキャンして脆弱性のレポート作成 =====
作成した SBOM ファイルをスキャンし、脆弱性(CVE-xxxx) があるか調査することができます。
root@jammy64-dev:/home/user1/work/MAX3xx# trivy -q sbom max3xx_jammy_v6_0_0_sbom.json
max3xx_jammy_v6_0_0_sbom.json (ubuntu 22.04)
Total: 96 (UNKNOWN: 0, LOW: 58, MEDIUM: 38, HIGH: 0, CRITICAL: 0)
┌───────────────────────┬──────────────────┬──────────┬──────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bash │ CVE-2022-3715 │ LOW │ 5.1-6ubuntu1 │ │ a heap-buffer-overflow in valid_parameter_transform │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3715 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bluez │ CVE-2020-10134 │ MEDIUM │ 5.64-0ubuntu1 │ │ bluetooth: Method Confusion Pairing Vulnerability in LE │
│ │ │ │ │ │ Secure Connections and BR/EDR Secure... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10134 │
│ ├──────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9797 │ LOW │ │ │ bluez: buffer over-read in l2cap_dump() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9797 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9798 │ │ │ │ bluez: use-after-free in conf_opt() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9798 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9799 │ │ │ │ bluez: buffer overflow in pklg_read_hci() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9799 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9800 │ │ │ │ bluez: buffer overflow in pin_code_reply_dump() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9800 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9801 │ │ │ │ bluez: buffer overflow in set_ext_ctrl() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9801 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9802 │ │ │ │ bluez: buffer over-read in l2cap_packet() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9802 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9803 │ │ │ │ bluez: out-of-bounds read in le_meta_ev_dump() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9803 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9804 │ │ │ │ bluez: buffer overflow in commands_dump() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9804 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9917 │ │ │ │ bluez: Heap-based buffer overflow vulnerability in read_n() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9917 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2016-9918 │ │ │ │ bluez: Out of bounds stack read in packet_hexdump() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9918 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-9770 │ │ │ │ bluez: BLESA bluetooth attack │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-9770 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3563 │ │ │ │ bluez: NULL pointer dereference in │
│ │ │ │ │ │ read_50_controller_cap_complete() in tools/mgmt-tester.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3563 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ busybox │ CVE-2022-28391 │ │ 1:1.30.1-7ubuntu3 │ │ busybox: remote attackers may execute arbitrary code if │
│ │ │ │ │ │ netstat is used │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28391 │
├───────────────────────┤ │ │ ├───────────────┤ │
│ busybox-initramfs │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils │ CVE-2016-2781 │ │ 8.32-4.1ubuntu1 │ │ coreutils: Non-privileged session can escape to the parent │
│ │ │ │ │ │ session in chroot │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv │ CVE-2022-3219 │ │ 2.2.27-3ubuntu2.1 │ │ gnupg: denial of service issue (resource consumption) using │
│ │ │ │ │ │ compressed packets │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapparmor1 │ CVE-2016-1585 │ MEDIUM │ 3.0.4-2ubuntu2.2 │ │ In all versions of AppArmor mount rules are accidentally │
│ │ │ │ │ │ widened when ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-1585 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin │ CVE-2016-20013 │ LOW │ 2.35-0ubuntu3.1 │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├───────────────────────┤ │ │ ├───────────────┤ │
│ libc6 │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcjson1 │ CVE-2018-1000215 │ MEDIUM │ 1.7.15-1 │ │ Dave Gamble cJSON version 1.7.6 and earlier contains a │
│ │ │ │ │ │ CWE-772 vulnera ...... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000215 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libglib2.0-0 │ CVE-2023-24593 │ LOW │ 2.72.4-0ubuntu2 │ │ glib: DoS caused by handling a malicious text-form variant │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24593 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-25180 │ │ │ │ glib: DoS caused by malicious serialised variant │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25180 │
├───────────────────────┼──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libglib2.0-data │ CVE-2023-24593 │ │ │ │ glib: DoS caused by handling a malicious text-form variant │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24593 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-25180 │ │ │ │ glib: DoS caused by malicious serialised variant │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25180 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6 │ CVE-2022-29458 │ │ 6.3-2 │ │ ncurses: segfaulting OOB read │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │
├───────────────────────┤ │ │ ├───────────────┤ │
│ libncursesw6 │ │ │ │ │ │
│ │ │ │ │ │ │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpcre3 │ CVE-2017-11164 │ │ 2:8.39-13ubuntu0.22.04.1 │ │ pcre: OP_KETRMAX feature in the match function in │
│ │ │ │ │ │ pcre_exec.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpython3.10-minimal │ CVE-2023-24329 │ MEDIUM │ 3.10.6-1~22.04.2ubuntu1 │ │ urllib.parse url blocklisting bypass │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24329 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27043 │ │ │ │ Parsing errors in email/_parseaddr.py lead to incorrect │
│ │ │ │ │ │ value in email address part... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27043 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsqlite3-0 │ CVE-2022-46908 │ LOW │ 3.37.2-2ubuntu0.1 │ │ sqlite: safe mode authorizer callback allows disallowed UDFs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-46908 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3 │ CVE-2023-1255 │ │ 3.0.2-0ubuntu1.9 │ │ Input buffer over-read in AES-XTS implementation on 64 bit │
│ │ │ │ │ │ ARM │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-1255 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2022-29458 │ │ 6.3-2 │ │ ncurses: segfaulting OOB read │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd1 │ CVE-2022-4899 │ │ 1.4.8+dfsg-3build1 │ │ buffer overrun in util.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4899 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ locales │ CVE-2016-20013 │ │ 2.35-0ubuntu3.1 │ │ sha256crypt and sha512crypt through 0.6 allow attackers to │
│ │ │ │ │ │ cause a denial of... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20013 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login │ CVE-2023-29383 │ │ 1:4.8.1-2ubuntu2.1 │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ chfn │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2022-29458 │ │ 6.3-2 │ │ ncurses: segfaulting OOB read │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │
├───────────────────────┤ │ │ ├───────────────┤ │
│ ncurses-bin │ │ │ │ │ │
│ │ │ │ │ │ │
├───────────────────────┤ │ │ ├───────────────┤ │
│ ncurses-term │ │ │ │ │ │
│ │ │ │ │ │ │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ openssh-client │ CVE-2020-14145 │ │ 1:8.9p1-3ubuntu0.1 │ │ openssh: Observable discrepancy leading to an information │
│ │ │ │ │ │ leak in the algorithm negotiation... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14145 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-41617 │ │ │ │ openssh: privilege escalation when AuthorizedKeysCommand or │
│ │ │ │ │ │ AuthorizedPrincipalsCommand are configured │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41617 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28531 │ │ │ │ openssh: smartcard keys to ssh-agent without the intended │
│ │ │ │ │ │ per-hop destination constraints. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28531 │
├───────────────────────┼──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ openssh-server │ CVE-2020-14145 │ │ │ │ openssh: Observable discrepancy leading to an information │
│ │ │ │ │ │ leak in the algorithm negotiation... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14145 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-41617 │ │ │ │ openssh: privilege escalation when AuthorizedKeysCommand or │
│ │ │ │ │ │ AuthorizedPrincipalsCommand are configured │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41617 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28531 │ │ │ │ openssh: smartcard keys to ssh-agent without the intended │
│ │ │ │ │ │ per-hop destination constraints. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28531 │
├───────────────────────┼──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ openssh-sftp-server │ CVE-2020-14145 │ │ │ │ openssh: Observable discrepancy leading to an information │
│ │ │ │ │ │ leak in the algorithm negotiation... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14145 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-41617 │ │ │ │ openssh: privilege escalation when AuthorizedKeysCommand or │
│ │ │ │ │ │ AuthorizedPrincipalsCommand are configured │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41617 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28531 │ │ │ │ openssh: smartcard keys to ssh-agent without the intended │
│ │ │ │ │ │ per-hop destination constraints. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28531 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2023-1255 │ │ 3.0.2-0ubuntu1.9 │ │ Input buffer over-read in AES-XTS implementation on 64 bit │
│ │ │ │ │ │ ARM │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-1255 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd │ CVE-2023-29383 │ │ 1:4.8.1-2ubuntu2.1 │ │ Improper input validation in shadow-utils package utility │
│ │ │ │ │ │ chfn │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29383 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ python3.10-minimal │ CVE-2023-24329 │ MEDIUM │ 3.10.6-1~22.04.2ubuntu1 │ │ urllib.parse url blocklisting bypass │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24329 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-27043 │ │ │ │ Parsing errors in email/_parseaddr.py lead to incorrect │
│ │ │ │ │ │ value in email address part... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27043 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ sqlite3 │ CVE-2022-46908 │ LOW │ 3.37.2-2ubuntu0.1 │ │ sqlite: safe mode authorizer callback allows disallowed UDFs │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-46908 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ssh │ CVE-2020-14145 │ │ 1:8.9p1-3ubuntu0.1 │ │ openssh: Observable discrepancy leading to an information │
│ │ │ │ │ │ leak in the algorithm negotiation... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14145 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-41617 │ │ │ │ openssh: privilege escalation when AuthorizedKeysCommand or │
│ │ │ │ │ │ AuthorizedPrincipalsCommand are configured │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41617 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-28531 │ │ │ │ openssh: smartcard keys to ssh-agent without the intended │
│ │ │ │ │ │ per-hop destination constraints. │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28531 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ udhcpc │ CVE-2022-28391 │ │ 1:1.30.1-7ubuntu3 │ │ busybox: remote attackers may execute arbitrary code if │
│ │ │ │ │ │ netstat is used │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28391 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ vim-common │ CVE-2022-0128 │ MEDIUM │ 2:8.2.3995-1ubuntu2.7 │ │ vim: a heap-based OOB read of size 1 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0128 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0156 │ │ │ │ vim: use-after-free while treating allocated lines in user │
│ │ │ │ │ │ functions │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0156 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0158 │ │ │ │ vim: heap-based read buffer overflow in compile_get_env() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0158 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0393 │ │ │ │ vim: out-of-bounds read in delete_buff_tail() in getchar.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0393 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0407 │ │ │ │ vim: heap-based buffer overflow on read in yank_copy_line │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0407 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2182 │ │ │ │ vim: heap-based buffer overflow through parse_cmd_address() │
│ │ │ │ │ │ in function utf_ptr2char │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2182 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2343 │ │ │ │ vim: heap-based buffer overflow in ins_compl_add() in │
│ │ │ │ │ │ insexpand.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2343 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2862 │ │ │ │ vim: heap use-after-free in generate_PCALL() at │
│ │ │ │ │ │ src/vim9instr.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2862 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2889 │ │ │ │ vim: use-after-free in find_var_also_in_script() in │
│ │ │ │ │ │ evalvars.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2889 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2982 │ │ │ │ vim: use after free in qf_fill_buffer() at src/quickfix.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2982 │
│ ├──────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0696 │ LOW │ │ │ vim: NULL Pointer Dereference in vim prior to 8.2 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0696 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1886 │ │ │ │ vim: heap-based buffer overflow in function utf_head_off │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1886 │
├───────────────────────┼──────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ vim-tiny │ CVE-2022-0128 │ MEDIUM │ │ │ vim: a heap-based OOB read of size 1 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0128 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0156 │ │ │ │ vim: use-after-free while treating allocated lines in user │
│ │ │ │ │ │ functions │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0156 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0158 │ │ │ │ vim: heap-based read buffer overflow in compile_get_env() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0158 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0393 │ │ │ │ vim: out-of-bounds read in delete_buff_tail() in getchar.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0393 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0407 │ │ │ │ vim: heap-based buffer overflow on read in yank_copy_line │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0407 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2182 │ │ │ │ vim: heap-based buffer overflow through parse_cmd_address() │
│ │ │ │ │ │ in function utf_ptr2char │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2182 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2343 │ │ │ │ vim: heap-based buffer overflow in ins_compl_add() in │
│ │ │ │ │ │ insexpand.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2343 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2862 │ │ │ │ vim: heap use-after-free in generate_PCALL() at │
│ │ │ │ │ │ src/vim9instr.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2862 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2889 │ │ │ │ vim: use-after-free in find_var_also_in_script() in │
│ │ │ │ │ │ evalvars.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2889 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2982 │ │ │ │ vim: use after free in qf_fill_buffer() at src/quickfix.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2982 │
│ ├──────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0696 │ LOW │ │ │ vim: NULL Pointer Dereference in vim prior to 8.2 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0696 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1886 │ │ │ │ vim: heap-based buffer overflow in function utf_head_off │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1886 │
├───────────────────────┼──────────────────┼──────────┼──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ wget │ CVE-2021-31879 │ MEDIUM │ 1.21.2-2ubuntu1 │ │ wget: authorization header disclosure on redirect │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-31879 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ xxd │ CVE-2022-0128 │ │ 2:8.2.3995-1ubuntu2.7 │ │ vim: a heap-based OOB read of size 1 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0128 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0156 │ │ │ │ vim: use-after-free while treating allocated lines in user │
│ │ │ │ │ │ functions │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0156 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0158 │ │ │ │ vim: heap-based read buffer overflow in compile_get_env() │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0158 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0393 │ │ │ │ vim: out-of-bounds read in delete_buff_tail() in getchar.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0393 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0407 │ │ │ │ vim: heap-based buffer overflow on read in yank_copy_line │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0407 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2182 │ │ │ │ vim: heap-based buffer overflow through parse_cmd_address() │
│ │ │ │ │ │ in function utf_ptr2char │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2182 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2343 │ │ │ │ vim: heap-based buffer overflow in ins_compl_add() in │
│ │ │ │ │ │ insexpand.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2343 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2862 │ │ │ │ vim: heap use-after-free in generate_PCALL() at │
│ │ │ │ │ │ src/vim9instr.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2862 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2889 │ │ │ │ vim: use-after-free in find_var_also_in_script() in │
│ │ │ │ │ │ evalvars.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2889 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-2982 │ │ │ │ vim: use after free in qf_fill_buffer() at src/quickfix.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2982 │
│ ├──────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-0696 │ LOW │ │ │ vim: NULL Pointer Dereference in vim prior to 8.2 │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0696 │
│ ├──────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-1886 │ │ │ │ vim: heap-based buffer overflow in function utf_head_off │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1886 │
├───────────────────────┼──────────────────┤ ├──────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ zstd │ CVE-2022-4899 │ │ 1.4.8+dfsg-3build1 │ │ buffer overrun in util.c │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-4899 │
└───────────────────────┴──────────────────┴──────────┴──────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
\\
===== 参考 =====
SBOM などに関する参考になる情報を載せたサイトです。
* [[https://engineers.ntt.com/entry/2022/12/07/113602|開発に使える脆弱性スキャンツール - NTT Communications Engineers' Blog]]