Moment: التعبير العادي الضعيف

تم إنشاؤها على ٨ سبتمبر ٢٠١٧  ·  24تعليقات  ·  مصدر: moment/moment

التعبير العادي التالي المستخدم لتحليل التواريخ المحددة كسلاسل يكون عرضة لـ ReDoS:

/[0-9]*['a-z\u00A0-\u05FF\u0700-\uD7FF\uF900-\uFDCF\uFDF0-\uFFEF]+|[\u0600-\u06FF\/]+(\s*?[\u0600-\u06FF]+){1,2}/i

التباطؤ منخفض بشكل معتدل: لـ 50.000 حرف حوالي ثانيتين وقت المطابقة. ومع ذلك ، ما زلت أقترح أحد الخيارات التالية:

  • إزالة regex ،
  • إرساء regex ،
  • تحديد عدد الأحرف التي يمكن أن يقابلها التكرار ،
  • الحد من حجم الإدخال.

إذا لزم الأمر ، يمكنني تقديم مثال حقيقي يوضح التباطؤ.

Bug Up-For-Grabs
مصدر
picture cristianstaicu
👍2910

التعليق الأكثر فائدة

نقدر أنه يمكن تسريع الإصلاح لهذا الأمر ، والآن بعد أن تم تسجيل دخوله ، فإنه يفشل في إنشاءاتنا.

picture davidnormo في ٢٨ نوفمبر ٢٠١٧
👍23 😕3

ال 24 كومينتر

للتوضيح ، هذا في التعبير العادي matchWord ، في /src/lib/parse/regex.js هنا .

يوجد هنا مخطط سكة حديد للتعبير النمطي . من هذا يمكننا أن نرى أن التجميع مع التكرار مرتبط بتحليل الأحرف العربية. سيكون من المفيد إذا كان الشخص الذي يفهم كل من التعبيرات العادية واللغة العربية يمكنه أن يتدخل في هذا الأمر.

نظرة عامة على ReDoS مفيدة أيضًا.

mj1856 picture mj1856 في ١٩ أكتوبر ٢٠١٧
👍4

سأأخذ هذا ، لم يبدأ أحد بالفعل

hamiltondanielb picture hamiltondanielb في ٢٠ أكتوبر ٢٠١٧
👍1

MustafaHosny اللهم امين :)

icambron picture icambron في ٢٠ أكتوبر ٢٠١٧

تضمين التغريدة
إذا لزم الأمر ، يمكنني تقديم مثال حقيقي يوضح التباطؤ.

أرغب في رؤية مثال إذا كان ذلك ممكنًا :)

drag0s picture drag0s في ٢٤ أكتوبر ٢٠١٧

أرسلها @ Drag0s على بريدك الإلكتروني الخاص.

cristianstaicu picture cristianstaicu في ٢٤ أكتوبر ٢٠١٧
👍1

لمعلوماتك ، تمت إضافة هذا إلى NSP (انظر هنا ) ، لذلك من المحتمل أن يبدأ هذا في كسر تصميمات الأشخاص قريبًا.

hamiltondanielb - هل

mattgrande picture mattgrande في ٢٧ نوفمبر ٢٠١٧
👍12

فقط كان لدينا كسر البناء 👯

jonsharratt picture jonsharratt في ٢٧ نوفمبر ٢٠١٧
😕12

من المحزن أن يتم نشر المشكلة قبل حلها. تم فتح العدد في 8 سبتمبر ، تم نشر استشاري NSP اليوم. cristianstaicu ربما كان يجب عليك تذكير

dskrvk picture dskrvk في ٢٧ نوفمبر ٢٠١٧
👍2

mattgrande ، هناك meta-ness لهذا: اتضح أن إصدار nsp الذي كنا مثبتين عليه (2.8.1) يعتمد على اللحظة (عبر joi) لذلك كان يبلغ عن ثغرة أمنية على اعتماده الخاص:

1__bash

بالترقية إلى nsp 3.1.0 ، تم حل هذا لأن التبعية لم تعد موجودة - لذا احذر من ذلك إذا كنت لا تعتمد بشكل مباشر على اللحظة.

rupesh1 picture rupesh1 في ٢٧ نوفمبر ٢٠١٧
😄7

هل هناك حل لهذا حتى الآن؟

bit7 picture bit7 في ٢٧ نوفمبر ٢٠١٧

من فضلك نصح أي إصلاح متاح؟

JoanYin picture JoanYin في ٢٧ نوفمبر ٢٠١٧

لم يتم نشر أي إصلاح حتى الآن.

من فضلك ، إذا كنت مهتمًا بالحصول على تحديثات من المشرفين ، فقم بالاشتراك في الإخطارات للحصول على تحديثات لهذه المشكلة بالنقر فوق "اشتراك" في العمود الأيمن.

fluxsauce picture fluxsauce في ٢٧ نوفمبر ٢٠١٧
7

لإضافة استثناء nsp لهذا ، أضف ملف .nsprc :

{
  "exceptions": [
     "https://nodesecurity.io/advisories/532"
  ]
}
westy92 picture westy92 في ٢٧ نوفمبر ٢٠١٧
👍15

شكرا @ westy92 ! أنقذ بنائي.

jacob-go picture jacob-go في ٢٧ نوفمبر ٢٠١٧
👍2

مرحبًا @ westy92 و @ jacob-go. لدي الكود التالي.
var مهامMethods = تتطلب ('gulpfile-ninecms') ؛
gulp.task ('nsp'، featuresMethods.nsp) ؛
لا تلتقط استثناء ملف .nsprc. يستمر في إعطائي خطأ الضعف للحظة.
لقد أضفت الملف على جذر المشروع. هل هناك أي شيء أفتقد لفعله؟

Dexterslab picture Dexterslab في ٢٧ نوفمبر ٢٠١٧

Dexterslab نحن نستخدم gulp-nsp ، والذي يعمل بشكل جيد عندما يكون .nsprc في دليل المشروع (نفس مستوى package.json ). ربما تحاول استخدام gulp-nsp مباشرة؟

westy92 picture westy92 في ٢٧ نوفمبر ٢٠١٧

@ كريستيانستايكو ماتغراند هل يحدث هذا في لوكسون أيضًا؟

nicosommi picture nicosommi في ٢٨ نوفمبر ٢٠١٧

نقدر أنه يمكن تسريع الإصلاح لهذا الأمر ، والآن بعد أن تم تسجيل دخوله ، فإنه يفشل في إنشاءاتنا.

davidnormo picture davidnormo في ٢٨ نوفمبر ٢٠١٧
👍23 😕3

هل يمكنني أن أقترح على المشرفين قفل هذا التحويل؟
لكل من ينتظر الإصلاح ، فقط اضغط على زر الاشتراك ، وسيتم إعلامك.

إذا أراد أي شخص إجراء الإصلاح ، فلا تتردد في فتح العلاقات العامة.

flovilmart picture flovilmart في ٢٩ نوفمبر ٢٠١٧
👍5

هناك علاقات عامة لهذا بالفعل https://github.com/moment/moment/pull/4326

UziTech picture UziTech في ٢٩ نوفمبر ٢٠١٧
🎉8

هل يحتاج شخص ما لإخطار nsp أنه تم تصحيح هذا؟ https://nodesecurity.io/advisories/532

westy92 picture westy92 في ٢٩ نوفمبر ٢٠١٧

تم إصلاح هذا في الإصدار 2.19.3. يرجى التحديث وفقًا لذلك.

لست متأكدًا من كيفية إبلاغ NSP -cristianstaicu ، هل يمكنك أنت أو غيرك المساعدة هنا؟

marwahaha picture marwahaha في ٢٩ نوفمبر ٢٠١٧
👍2

لقد قمت بإرسال بريد إلكتروني إلى

مرحبا،

تم تصحيح ثغرة Mom.js المعلقة حاليًا (https://nodesecurity.io/advisories/532) مؤخرًا وتم إصدار الإصلاح في الإصدار 2.19.3.

ما هي عملية الإبلاغ عن تحديثات حالة التقارير؟ عنوان البريد الإلكتروني هذا هو أفضل طريق يمكن أن أجده.

شكر!

mdholloway picture mdholloway في ٢٩ نوفمبر ٢٠١٧
👍1

حصلت للتو على رد يفيد بأنه يجب تحديث NSP DB بـ 2.19.3 كإصدار ثابت.

تم التحقق من ناحيتي أن 2.19.3 لم تعد تنبيهات.

mdholloway picture mdholloway في ٢٩ نوفمبر ٢٠١٧
🎉7
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

benhathaway picture benhathaway  ·  3تعليقات
chitgoks picture chitgoks  ·  3تعليقات
alvarotrigo picture alvarotrigo  ·  3تعليقات
danieljsinclair picture danieljsinclair  ·  3تعليقات
tanepiper picture tanepiper  ·  3تعليقات