Camunda Platform Docker image v7.18

Vladislav · February 21, 2023, 6:13pm

Hi, Team.

I try to use Camunda Platform 7 Docker Image (tomcat-7.18.0).
Using the utility https://trivy.dev/ I detect several vulnerabilities and security risks:

┌────────────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                            Title                             │
├────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ curl                   │ CVE-2022-32221 │ CRITICAL │ 7.80.0-r3         │ 7.80.0-r4     │ curl: POST following PUT confusion                           │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-32221                   │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-42915 │          │                   │               │ curl: HTTP proxy double-free                                 │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-42915                   │
│                        ├────────────────┼──────────┤                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-42916 │ HIGH     │                   │               │ curl: HSTS bypass via IDN                                    │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-42916                   │
│                        ├────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-43551 │          │                   │ 7.80.0-r5     │ curl: HSTS bypass via IDN                                    │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-43551                   │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-43552 │          │                   │               │ curl: Use-after-free triggered by an HTTP proxy deny         │
│                        │                │          │                   │               │ response                                                     │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-43552                   │
├────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcrypto1.1           │ CVE-2023-0286  │ CRITICAL │ 1.1.1q-r0         │ 1.1.1t-r0     │ There is a type confusion vulnerability relating to X.400    │
│                        │                │          │                   │               │ address proc ......                                          │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0286                    │
│                        ├────────────────┼──────────┤                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-4450  │ HIGH     │                   │               │ The function PEM_read_bio_ex() reads a PEM file from a BIO   │
│                        │                │          │                   │               │ and parses...                                                │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-4450                    │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-0215  │          │                   │               │ The public API function BIO_new_NDEF is a helper function    │
│                        │                │          │                   │               │ used for str...                                              │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0215                    │
├────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl                │ CVE-2022-32221 │ CRITICAL │ 7.80.0-r3         │ 7.80.0-r4     │ curl: POST following PUT confusion                           │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-32221                   │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-42915 │          │                   │               │ curl: HTTP proxy double-free                                 │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-42915                   │
│                        ├────────────────┼──────────┤                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-42916 │ HIGH     │                   │               │ curl: HSTS bypass via IDN                                    │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-42916                   │
│                        ├────────────────┤          │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-43551 │          │                   │ 7.80.0-r5     │ curl: HSTS bypass via IDN                                    │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-43551                   │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-43552 │          │                   │               │ curl: Use-after-free triggered by an HTTP proxy deny         │
│                        │                │          │                   │               │ response                                                     │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-43552                   │
├────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1              │ CVE-2023-0286  │ CRITICAL │ 1.1.1q-r0         │ 1.1.1t-r0     │ There is a type confusion vulnerability relating to X.400    │
│                        │                │          │                   │               │ address proc ......                                          │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0286                    │
│                        ├────────────────┼──────────┤                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-4450  │ HIGH     │                   │               │ The function PEM_read_bio_ex() reads a PEM file from a BIO   │
│                        │                │          │                   │               │ and parses...                                                │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-4450                    │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2023-0215  │          │                   │               │ The public API function BIO_new_NDEF is a helper function    │
│                        │                │          │                   │               │ used for str...                                              │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0215                    │
├────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtasn1               │ CVE-2021-46848 │ CRITICAL │ 4.18.0-r0         │ 4.18.0-r1     │ libtasn1: Out-of-bound access in ETYPE_OK                    │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-46848                   │
├────────────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2                │ CVE-2022-40303 │ HIGH     │ 2.9.14-r1         │ 2.9.14-r2     │ libxml2: integer overflows with XML_PARSE_HUGE               │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-40303                   │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-40304 │          │                   │               │ libxml2: dict corruption caused by entity reference cycles   │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-40304                   │
├────────────────────────┼────────────────┤          ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ openjdk11-jre-headless │ CVE-2022-25647 │          │ 11.0.15_p10-r0    │ 11.0.17_p8-r0 │ com.google.code.gson-gson: Deserialization of Untrusted Data │
│                        │                │          │                   │               │ in com.google.code.gson-gson                                 │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-25647                   │
│                        ├────────────────┤          │                   │               ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-34169 │          │                   │               │ OpenJDK: integer truncation issue in Xalan-J (JAXP, 8285407) │
│                        │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2022-34169                   │
└────────────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

Java (jar)
==========
Total: 7 (HIGH: 7, CRITICAL: 0)

┌─────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬─────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│                       Library                       │ Vulnerability  │ Severity │ Installed Version │          Fixed Version          │                            Title                            │
├─────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind         │ CVE-2022-42003 │ HIGH     │ 2.13.2.2          │ 2.12.7.1, 2.13.4.1              │ jackson-databind: deep wrapper array nesting wrt            │
│ (camunda-spin-dataformat-all-1.18.0.jar)            │                │          │                   │                                 │ UNWRAP_SINGLE_VALUE_ARRAYS                                  │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2022-42003                  │
│                                                     ├────────────────┤          │                   ├─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                     │ CVE-2022-42004 │          │                   │ 2.12.7.1, 2.13.4                │ jackson-databind: use of deeply nested arrays               │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2022-42004                  │
├─────────────────────────────────────────────────────┼────────────────┤          ├───────────────────┼─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.apache.tomcat:tomcat-catalina (catalina.jar)    │ CVE-2022-45143 │          │ 9.0.58            │ 8.5.84, 9.0.69, 10.1.2          │ The JsonErrorReportValve in Apache Tomcat 8.5.83, 9.0.40 to │
│                                                     │                │          │                   │                                 │ 9.0.68 and ...                                              │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2022-45143                  │
├─────────────────────────────────────────────────────┼────────────────┤          │                   ├─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.apache.tomcat:tomcat-coyote (tomcat-coyote.jar) │ CVE-2022-42252 │          │                   │ 8.5.83, 9.0.68, 10.0.27, 10.1.1 │ tomcat: request smuggling                                   │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2022-42252                  │
├─────────────────────────────────────────────────────┼────────────────┤          ├───────────────────┼─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.postgresql:postgresql (postgresql-42.3.3.jar)   │ CVE-2022-31197 │          │ 42.3.3            │ 42.2.26, 42.3.7, 42.4.1         │ postgresql: SQL Injection in ResultSet.refreshRow() with    │
│                                                     │                │          │                   │                                 │ malicious column names                                      │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2022-31197                  │
├─────────────────────────────────────────────────────┼────────────────┤          ├───────────────────┼─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (jmx_prometheus_javaagent.jar)   │ CVE-2017-18640 │          │ 1.16              │ 1.26                            │ snakeyaml: Billion laughs attack via alias feature          │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2017-18640                  │
│                                                     ├────────────────┤          │                   ├─────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                                                     │ CVE-2022-25857 │          │                   │ 1.31                            │ snakeyaml: Denial of Service due to missing nested depth    │
│                                                     │                │          │                   │                                 │ limitation for collections...                               │
│                                                     │                │          │                   │                                 │ https://avd.aquasec.com/nvd/cve-2022-25857                  │
└─────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴─────────────────────────────────┴─────────────────────────────────────────────────────────────┘

You can fix them in future release?
Thank you in advance

Ingo_Richtsmeier · February 22, 2023, 9:30am

Hi @Vladislav,

can you please follow the process to report a vulnerability: Report a Vulnerability | docs.camunda.org

Thank you, Ingo

Vladislav · February 22, 2023, 10:15am

Hello, @Ingo_Richtsmeier. Done Camunda - log in - camunda JIRA

Pedro_Trindade · February 28, 2023, 3:06pm

What is the status of this issue? I was not able to open the JIRA created by Vladislav

Vladislav · February 28, 2023, 8:17pm

Hello, @Pedro_Trindade. I created issue near week ago, and reference to it in my previous reply to @Ingo_Richtsmeier. https://jira.camunda.com/browse/SEC-251