我今天早些时候尝试刚刚接触到 hawk v7.0.7,但测试失败了。 我不得不跳下去做其他事情,但我只能用这种更快的方式来运行测试:
npx taper tests/test-hawk.js
据我了解,问题在于 cve, https ://nvd.nist.gov/vuln/detail/CVE-2018-3728,关于hoek < v5.0.3
; request v2.85.1
需要hawk ~6.0.2
,这需要hoek 4.x.x
。 request
需要hawk ~6.0.2
以保持与节点 4 的兼容性。
cve 指出“5.0.3 之前的 _hoek 节点模块患有 ..._”并引用https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee作为hoek v5.0.3
中的修复
但是, hoek v4.2.1
也有该修复:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
因此,似乎 cve 错误地将hoek v4.2.1
视为易受攻击,这可能是为什么现在有如此多的 github 存储库报告漏洞的原因。 我就这个问题向 nvd.nist.gov 发送了一封电子邮件。
见这里: https ://github.com/request/request/issues/2891#issuecomment -372271727
为了确认 dan-nl 的发现,来自securityfocus和 CVE 中的hackerone的链接都表示它已被修复
不易受伤害:
| 胡克胡克 4.2.1
| 胡克胡克 5.0.3
vdeturckheim 发表了评论。 2月15日(2个月前)
修复已向后移植到模块的 4.x 轨道并发布为 4.2.1。 (见 https://github.com/hapijs/hoek/pull/231 )
并由@nlf在https://github.com/hapijs/hoek/issues/230#issuecomment -366056246 中确认
它已被修复。
为了进一步讨论,(…)
@warpdesign你说
请求取决于 hawk 版本 ~6.0.2。 更新到 hawk 版本 7.0.0 将解决问题
但是,如果我没有直接将 hawk 作为依赖项,我该怎么做呢?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
哪个 npm 命令? npm update request
没有完成这项工作。 也不是npm update hoek
谢谢
你不能。 您必须等到 Request 发布使用 Hawk 7 的新版本。这就是问题所在。
可以确认,由于请求库,我有 6 个被 github 标记为存在 hoek 漏洞的 repos。
@jfoclpf我想应该可以通过发布带有更新版本的分叉来临时解决问题。 但你不想走这条路。 最好等待官方决议(这应该很快就会出现,vce 状态只需要更新为hoek v4.2.1
)。
根据我从其他软件包中得到的信息,这是来自 github 的误报。 该版本的hoek
没有漏洞。 尽管如此,这很烦人,因此让我们等待request
的官方更新。
Node.js 4.x 发布线将于 4 月 30 日结束生命周期,此后与它的兼容性不再是问题。
是的,嗨 :wave: hoek 维护者在这里。 版本 4.2.1已修补。 github 的警报目前是错误的。 我已经提交了更正 CVE 中的版本范围的请求,并且还骚扰了 github 上的一些好心人来处理他们的事情。 _希望_他们很快就会停止将该版本报告为易受攻击的版本。
https://github.com/request/request/issues/2926#issuecomment -385087487
版本 4.2.1 已修补
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
我提交了更新 CVE 的请求,希望这会很快发生,并且 GitHub 可以更新他们的数据库。 在那之前,这一切都超出了我的掌控。 我把它打开,希望其他人能找到它。
!?
@dscalzi ,
hawk > v7.0.0
放弃对节点 4 和 6 的支持
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0
包括hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x
放弃对节点 4 和 6 的支持
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
请问这个问题现在进展如何?
@diamont1001它已经修复了
@Bjornskjald你确定吗?
[email protected]/1 -> [email protected] -> [email protected]
@diamont1001 hoek 4.2.1 已向后移植错误修复
@Bjornskjald
@diamont1001因为如果你不够懒惰地阅读整个讨论,你会发现这是 GitHub 的一个错误,并且 hoek 维护者已经联系了他们......
@nlf感谢您之前更新此线程! Github 有任何回应吗? 我也在考虑ping他们...
状态更新?
状态更新?
来自@GitHub工作人员的@phillmv在https://github.com/hapijs/hoek/issues/247#issuecomment -386708295 上发布了解释:
[...] 我们修复了周一提醒的版本,我今天早些时候亲自删除了所有不良警报。 [...]
你好,我已经阅读了所有的讨论,但我仍然有这个问题。
我已经运行 npm audit 并向我报告了 hoek 包的 11 个漏洞。
我已将其更新到 7.0.7,但没有任何改变。 我还按照上面的建议更新了 hawk 包,但仍然没有任何改变。
你能帮我吗?
@NadGu 请先检查您的 package-lock.json 文件。
@diamont1001现在完成了。 hoek 的版本是 4.2.1。 我能做些什么来更新它?
[email protected] 没问题。
我认为你只需要等待github刷新数据,至少我当时是这样做的,并且它有效。
@diamont1001所以让我们等一下! 至少我做了我能做的一切。 谢谢!
@nadgu嗨!
您是说您在 GitHub 上有一个存储库,我们仍在将 4.2.1 版本标记为易受攻击的版本? 那不应该发生!
请通过存储库链接发送电子邮件至 [email protected] 并提及@phillmv ,我们将从那里获取它:)。
此问题已自动标记为过时,因为它最近没有活动。 如果没有进一步的活动发生,它将被关闭。 感谢你的贡献。
最有用的评论
是的,嗨 :wave: hoek 维护者在这里。 版本 4.2.1已修补。 github 的警报目前是错误的。 我已经提交了更正 CVE 中的版本范围的请求,并且还骚扰了 github 上的一些好心人来处理他们的事情。 _希望_他们很快就会停止将该版本报告为易受攻击的版本。