基础信息
项目名称:zalando/patroni
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721697384362713088/1721697384585011200
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Cryptography HKDF 安全漏洞 | 密码算法不安全 | MPS-2017-3244 | CVE-2016-9243 | 高危 |
| psutil 资源管理错误漏洞 | 双重释放 | MPS-2019-14454 | CVE-2019-18874 | 高危 |
| python-cryptography 安全漏洞 | 隐蔽时间通道 | MPS-2021-0163 | CVE-2020-25659 | 中危 |
| OpenSSL 安全漏洞 | 加锁机制不恰当 | MPS-2022-64591 | CVE-2022-3996 | 高危 |
| OpenSSL 缓冲区错误漏洞 | 越界读取 | MPS-2022-65756 | CVE-2022-4203 | 中危 |
| OpenSSL 安全漏洞 | 通过差异性导致的信息暴露 | MPS-2022-66954 | CVE-2022-4304 | 中危 |
| OpenSSL 资源管理错误漏洞 | 双重释放 | MPS-2022-67892 | CVE-2022-4450 | 高危 |
| OpenSSL 资源管理错误漏洞 | UAF | MPS-2023-1276 | CVE-2023-0215 | 高危 |
| OpenSSL 代码问题漏洞 | 空指针取消引用 | MPS-2023-1277 | CVE-2023-0216 | 高危 |
| OpenSSL 代码问题漏洞 | 空指针取消引用 | MPS-2023-1278 | CVE-2023-0217 | 高危 |
| OpenSSL 代码问题漏洞 | 空指针取消引用 | MPS-2023-2153 | CVE-2023-0401 | 高危 |
| OpenSSL 安全漏洞 | 过度迭代 | MPS-n3pe-ljgc | CVE-2023-3817 | 中危 |
| python-cryptography 信任管理问题漏洞 | 证书验证不恰当 | MPS-sj5m-20tf | CVE-2023-38325 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| cryptography | 1.4 | 41.0.3 | 间接依赖 | 建议修复 |
| psutil | 2.0.0 | 5.6.7 | 间接依赖 | 建议修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 5 | 低 |
| BSD-3-Clause | 3 | 低 |
| Apache-2.0 OR BSD-3-Clause | 1 | 低 |
| Apache-2.0 | 1 | 低 |
| 自定义许可证 | 2 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| BaseHTTPRequestHandler | 间接依赖 | pip | |
| Thread | 间接依赖 | pip | |
| patroni | 间接依赖 | pip | |
| flake8 | 3.0.0 | 间接依赖 | pip |
| HTTPServer | 间接依赖 | pip | |
| psutil | 2.0.0 | 间接依赖 | pip |
| cryptography | 1.4 | 间接依赖 | pip |
| Lock | 间接依赖 | pip | |
| KazooState | 间接依赖 | pip | |
| sphinx_rtd_theme | 1 | 间接依赖 | pip |
| kazoo | 1.3.1 | 间接依赖 | pip |
| python-consul | 0.7.1 | 间接依赖 | pip |
| PropertyMock | 间接依赖 | pip | |
| Collection | 间接依赖 | pip | |
| Condition | 间接依赖 | pip | |
| step | 间接依赖 | pip | |
| Callable | 间接依赖 | pip | |
| click | 4.1 | 间接依赖 | pip |
| SyncObj | 间接依赖 | pip | |
| List | 间接依赖 | pip | |
| parse_qsl | 间接依赖 | pip | |
| mock | 间接依赖 | pip | |
| ConsulException | 间接依赖 | pip | |
| pysyncobj | 0.3.8 | 间接依赖 | pip |
| Dict | 间接依赖 | pip | |
| MockCursor | 间接依赖 | pip | |
| Optional | 间接依赖 | pip | |
| KazooClient | 间接依赖 | pip | |
| patch | 间接依赖 | pip | |
| behave | 间接依赖 | pip | |
| Iterable | 间接依赖 | pip | |
| ydiff | 1.2.0 | 间接依赖 | pip |
| AbstractPatroniDaemon | 间接依赖 | pip | |
| SyncObjConf | 间接依赖 | pip | |
| Event | 间接依赖 | pip | |
| urlparse | 间接依赖 | pip | |
| then | 间接依赖 | pip | |
| Mock | 间接依赖 | pip | |
| sphinx-github-style | 1.0.3 | 间接依赖 | pip |
| sphinx | 4 | 间接依赖 | pip |
| Any | 间接依赖 | pip | |
| prettytable | 0.7 | 间接依赖 | pip |
| Tuple | 间接依赖 | pip | |
| timedelta | 间接依赖 | pip | |
| NodeExistsError | 间接依赖 | pip | |
| NoNodeError | 间接依赖 | pip | |
| NotFound | 间接依赖 | pip | |
| abstract_main | 间接依赖 | pip | |
| current_thread | 间接依赖 | pip | |
| MockConnect | 间接依赖 | pip | |
| MagicMock | 间接依赖 | pip | |
| register_type | 间接依赖 | pip |