Request: hoek 包中的漏洞

我今天早些时候尝试刚刚接触到 hawk v7.0.7，但测试失败了。 我不得不跳下去做其他事情，但我只能用这种更快的方式来运行测试：

npx taper tests/test-hawk.js

据我了解，问题在于 cve， https ://nvd.nist.gov/vuln/detail/CVE-2018-3728，关于hoek < v5.0.3 ； request v2.85.1需要hawk ~6.0.2 ，这需要hoek 4.x.x 。 request需要hawk ~6.0.2以保持与节点 4 的兼容性。

• cve 指出“5.0.3 之前的 _hoek 节点模块患有 ..._”并引用https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee作为hoek v5.0.3中的修复

• 但是， hoek v4.2.1也有该修复：
  https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
  https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116

因此，似乎 cve 错误地将hoek v4.2.1视为易受攻击，这可能是为什么现在有如此多的 github 存储库报告漏洞的原因。 我就这个问题向 nvd.nist.gov 发送了一封电子邮件。

见这里： https ://github.com/request/request/issues/2891#issuecomment -372271727

为了确认 dan-nl 的发现，来自securityfocus和 CVE 中的hackerone的链接都表示它已被修复

不易受伤害：
| 胡克胡克 4.2.1
| 胡克胡克 5.0.3

vdeturckheim 发表了评论。 2月15日（2个月前）
修复已向后移植到模块的 4.x 轨道并发布为 4.2.1。 （见 https://github.com/hapijs/hoek/pull/231 ）

并由@nlf在https://github.com/hapijs/hoek/issues/230#issuecomment -366056246 中确认

它已被修复。
为了进一步讨论，（…）

@warpdesign你说

请求取决于 hawk 版本 ~6.0.2。 更新到 hawk 版本 7.0.0 将解决问题

但是，如果我没有直接将 hawk 作为依赖项，我该怎么做呢？

[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
  └─┬ [email protected]
    ├─┬ [email protected]
    │ └── [email protected]  deduped
    ├─┬ [email protected]
    │ └─┬ [email protected]
    │   └── [email protected]  deduped
    ├── [email protected] 
    └─┬ [email protected]
      └── [email protected]  deduped

哪个 npm 命令？ npm update request没有完成这项工作。 也不是npm update hoek
谢谢

你不能。 您必须等到 Request 发布使用 Hawk 7 的新版本。这就是问题所在。

可以确认，由于请求库，我有 6 个被 github 标记为存在 hoek 漏洞的 repos。

@jfoclpf我想应该可以通过发布带有更新版本的分叉来临时解决问题。 但你不想走这条路。 最好等待官方决议（这应该很快就会出现，vce 状态只需要更新为hoek v4.2.1 ）。

根据我从其他软件包中得到的信息，这是来自 github 的误报。 该版本的hoek没有漏洞。 尽管如此，这很烦人，因此让我们等待request的官方更新。

Node.js 4.x 发布线将于 4 月 30 日结束生命周期，此后与它的兼容性不再是问题。

是的，嗨 :wave: hoek 维护者在这里。 版本 4.2.1已修补。 github 的警报目前是错误的。 我已经提交了更正 CVE 中的版本范围的请求，并且还骚扰了 github 上的一些好心人来处理他们的事情。 _希望_他们很快就会停止将该版本报告为易受攻击的版本。

https://github.com/request/request/issues/2926#issuecomment -385087487
版本 4.2.1 已修补

https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
我提交了更新 CVE 的请求，希望这会很快发生，并且 GitHub 可以更新他们的数据库。 在那之前，这一切都超出了我的掌控。 我把它打开，希望其他人能找到它。

！？

@dscalzi ，

hawk > v7.0.0放弃对节点 4 和 6 的支持
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml

hawk >= v7.0.0包括hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19

hoek v5.x.x放弃对节点 4 和 6 的支持
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml

请问这个问题现在进展如何？

@diamont1001它已经修复了

@Bjornskjald你确定吗？

[email protected]/1 -> [email protected] -> [email protected]

@diamont1001 hoek 4.2.1 已向后移植错误修复

@Bjornskjald

@diamont1001因为如果你不够懒惰地阅读整个讨论，你会发现这是 GitHub 的一个错误，并且 hoek 维护者已经联系了他们......

@nlf感谢您之前更新此线程！ Github 有任何回应吗？ 我也在考虑ping他们...

状态更新？

状态更新？

来自@GitHub工作人员的@phillmv在https://github.com/hapijs/hoek/issues/247#issuecomment -386708295 上发布了解释：

[...] 我们修复了周一提醒的版本，我今天早些时候亲自删除了所有不良警报。 [...]

你好，我已经阅读了所有的讨论，但我仍然有这个问题。
我已经运行 npm audit 并向我报告了 hoek 包的 11 个漏洞。
我已将其更新到 7.0.7，但没有任何改变。 我还按照上面的建议更新了 hawk 包，但仍然没有任何改变。
你能帮我吗？

@NadGu 请先检查您的 package-lock.json 文件。

@diamont1001现在完成了。 hoek 的版本是 4.2.1。 我能做些什么来更新它？

[email protected] 没问题。
我认为你只需要等待github刷新数据，至少我当时是这样做的，并且它有效。

@diamont1001所以让我们等一下！ 至少我做了我能做的一切。 谢谢！

@nadgu嗨！

您是说您在 GitHub 上有一个存储库，我们仍在将 4.2.1 版本标记为易受攻击的版本？ 那不应该发生！

请通过存储库链接发送电子邮件至 [email protected] 并提及@phillmv ，我们将从那里获取它:)。

此问题已自动标记为过时，因为它最近没有活动。 如果没有进一步的活动发生，它将被关闭。 感谢你的贡献。