Request: الضعف في حزمة هوك

تم إنشاؤها على ٢٧ أبريل ٢٠١٨ · 29تعليقات · مصدر: request/request

هناك ثغرة أمنية في الحزمة hoek المطلوبة من قبل hawk التي يعتمد عليها الطلب.

يعتمد الطلب على نسخة الصقر ~6.0.2 . التحديث إلى إصدار hawk 7.0.0 سيصلح المشكلة.

stale

مصدر

warpdesign

👍85 ❤8 😕1

التعليق الأكثر فائدة

نعم ، مرحبًا: موجة: عامل صيانة hoek هنا. تم تصحيح الإصدار 4.2.1. تنبيهات github خاطئة حاليًا. لقد قدمت طلبًا لتصحيح نطاق الإصدار في CVE وقمت أيضًا بمضايقة بعض الأشخاص اللطفاء في github للاعتناء بالأشياء من نهايتهم. _ نأمل أن يتوقفوا عن الإبلاغ عن هذا الإصدار على أنه عرضة للخطر قريبًا.

nlf في ٢٧ أبريل ٢٠١٨

👍23 🎉12 😄1

ال 29 كومينتر

حاولت فقط الارتطام بـ hawk v7.0.7 في وقت سابق اليوم لكن الاختبار كسر. اضطررت للقفز من أجل القيام بشيء آخر ولكني وصلت فقط إلى هذه الطريقة الأسرع لإجراء الاختبار:

npx taper tests/test-hawk.js

crccheck في ٢٧ أبريل ٢٠١٨

بقدر ما أفهمها ، فإن المشكلة تتعلق بـ cve ، https://nvd.nist.gov/vuln/detail/CVE-2018-3728 ، بخصوص hoek < v5.0.3 ؛ request v2.85.1 يتطلب hawk ~6.0.2 ، والذي يتطلب hoek 4.x.x . يتطلب $ request hawk ~6.0.2 للحفاظ على التوافق مع العقدة 4.

تنص cve على أن "وحدة عقدة hoek قبل 5.0.3 تعاني من ... _" والمراجع https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee كإصلاح في hoek v5.0.3
ومع ذلك ، يحتوي hoek v4.2.1 أيضًا على هذا الإصلاح:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116

وبالتالي ، يبدو أن cve يعتبر بشكل غير صحيح hoek v4.2.1 ضعيفًا وربما يكون السبب وراء قيام العديد من مستودعات github بالإبلاغ الآن عن ثغرة أمنية. لقد أرسلت بريدًا إلكترونيًا إلى nvd.nist.gov حول هذه المشكلة.

dan-nl في ٢٧ أبريل ٢٠١٨

👍18

انظر هنا: https://github.com/request/request/issues/2891#issuecomment -372271727

ptrcnull في ٢٧ أبريل ٢٠١٨

لتأكيد نتائج dan-nl ، تشير كل من الروابط من securityfocus و hackerone في CVE إلى أنه تم إصلاحها

غير ضعيف:
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3

نشر vdeturckheim تعليقًا. 15 فبراير (منذ 2 أشهر)
تم إصلاح الإصلاح إلى مسار 4.x للوحدة وتم نشره كـ 4.2.1. (انظر https://github.com/hapijs/hoek/pull/231)

وتم تأكيده بواسطة nlf في https://github.com/hapijs/hoek/issues/230#issuecomment -366056246

تم اصلاحه.
لمزيد من المناقشة ، (...)

PhilippeVay في ٢٧ أبريل ٢٠١٨

warpdesign قلته

يعتمد الطلب على إصدار hawk ~ 6.0.2. التحديث إلى الإصدار 7.0.0 من برنامج hawk سيصلح المشكلة

لكن كيف أفعل ذلك إذا لم يكن لدي صقر مباشر كاعتالة؟

[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
  └─┬ [email protected]
    ├─┬ [email protected]
    │ └── [email protected]  deduped
    ├─┬ [email protected]
    │ └─┬ [email protected]
    │   └── [email protected]  deduped
    ├── [email protected] 
    └─┬ [email protected]
      └── [email protected]  deduped

أي أمر npm؟ npm update request لم يقم بهذه المهمة. ولا npm update hoek
شكرا

jfoclpf في ٢٧ أبريل ٢٠١٨

لا يمكنك. عليك الانتظار حتى يقوم Request بنشر إصدار جديد يستخدم Hawk 7. هذه هي المشكلة.

jbreckmckye في ٢٧ أبريل ٢٠١٨

👍3

يمكنني التأكيد ، لقد تم وضع علامة على 6 مستودعات من قبل جيثب لوجود ثغرة أمنية بسبب مكتبة الطلبات.

johnbeech في ٢٧ أبريل ٢٠١٨

jfoclpf أعتقد أنه من الممكن إصلاح المشكلة مؤقتًا عن طريق نشر forks بإصدار محدث. لكنك لا تريد أن تسلك هذا الطريق. من الأفضل الانتظار للحصول على قرار رسمي (والذي لا ينبغي أن يكون طويلاً ، فهذه الحالة vce تحتاج فقط إلى التحديث مقابل hoek v4.2.1 ).

warpdesign في ٢٧ أبريل ٢٠١٨

وفقًا لما قيل لي من الحزم الأخرى ، إنها إيجابية خاطئة من جيثب. لا توجد ثغرة أمنية في هذا الإصدار من hoek . ومع ذلك ، فهو أمر مزعج ، وبالتالي دعونا ننتظر تحديثًا رسميًا request .

jfoclpf في ٢٧ أبريل ٢٠١٨

👍8

سينتهي سطر إصدار Node.js 4.x في 30 أبريل ، ولا ينبغي أن يكون التوافق معه مصدر قلق بعد ذلك.

dscalzi في ٢٧ أبريل ٢٠١٨

👍1

nlf في ٢٧ أبريل ٢٠١٨

👍23 🎉12 😄1

https://github.com/request/request/issues/2926#issuecomment -385087487
تم تصحيح الإصدار 4.2.1

https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
لقد قدمت طلبًا لتحديث CVE ، وآمل أن يحدث ذلك قريبًا ويمكن لـ GitHub تحديث بيانات db الخاصة بهم. حتى يحدث هذا كله خارج يدي. سأترك هذا مفتوحًا على أمل أن يجده الآخرون.

!؟

yumetodo في ٢٨ أبريل ٢٠١٨

dscalzi ،

يسقط hawk > v7.0.0 دعم العقدة 4 و 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml

hawk >= v7.0.0 يشمل hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19

يسقط hoek v5.x.x دعم العقدة 4 و 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml

dan-nl في ٢٩ أبريل ٢٠١٨

كيف تسير هذه القضية الآن من فضلك؟

diamont1001 في ٢ مايو ٢٠١٨

@ Diamont1001 تم إصلاحه بالفعل

ptrcnull في ٢ مايو ٢٠١٨

Bjornskjald هل أنت متأكد؟

[email protected]/1 -> [email protected] -> [email protected]

diamont1001 في ٢ مايو ٢٠١٨

يحتوي @ Diamont1001 hoek 4.2.1 على دعم إصلاح الأخطاء

ptrcnull في ٢ مايو ٢٠١٨

تضمين التغريدة

diamont1001 في ٢ مايو ٢٠١٨

@ Diamont1001 لأنه إذا لم تكن كسولًا بما يكفي لقراءة المناقشة بأكملها ، فسترى أنه خطأ في GitHub وقد اتصل مدير hoek بهم بالفعل ...

ptrcnull في ٢ مايو ٢٠١٨

👍8 👎4

nlf شكرا لتحديث هذا الموضوع في وقت سابق! أي رد من جيثب حتى الآن؟ أفكر في أمر ping عليهم أيضًا ...

JessicaSachs في ٣ مايو ٢٠١٨

تحديث الحالة؟

debragail في ٤ مايو ٢٠١٨

تحديث الحالة؟

نشرphillmv من موظفي GitHub شرحًا على https://github.com/hapijs/hoek/issues/247#issuecomment -386708295:

[...] أصلحنا الإصدارات التي ننبه إليها يوم الاثنين ، وقمت شخصيًا بحذف جميع التنبيهات السيئة في وقت سابق اليوم. [...]

cmfcmf في ٤ مايو ٢٠١٨

👍4

مرحبًا ، لقد قرأت كل المناقشة ولكن ما زلت أواجه المشكلة.
لقد قمت بتشغيل تدقيق npm وأبلغتني عن 11 ضعف في حزمة hoek.
لقد قمت بتحديثه إلى 7.0.7 ولكن لم يتغير شيء. لقد قمت أيضًا بتحديث حزمة هوك كما هو مقترح أعلاه ولكن لم يتغير شيء.
هل يمكنك مساعدتي من فضلك؟