Async: Schwachstelle mit mittlerem Schweregrad in Lodash gefunden

Erstellt am 4. Feb. 2019 · 4Kommentare · Quelle: caolan/async

snyk meldet eine Denial-of-Service-Schwachstelle für reguläre Ausdrücke in einer Ihrer Abhängigkeiten, lodash 4.17.5 .

✗ Medium severity vulnerability found in lodash
  Description: Regular Expression Denial of Service (ReDoS)
  Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
  Introduced through: [email protected]
  From: [email protected] > [email protected]
  Remediation:
    Your dependencies are out of date, otherwise you would be using a newer version of lodash. 
    Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.

und

Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.

? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1

Vielen Dank im Voraus!

Quelle

dep

👍2

Hilfreichster Kommentar

Das Aktualisieren von lodash war kein Problem, ich habe v2.6.2 mit dem Update veröffentlicht.

aearly am 12. Feb. 2019

👍2 🎉1

Alle 4 Kommentare

Stoßen

dscalzi am 8. Feb. 2019

Wir verwenden diese Methode nicht, also trifft sie auf uns nicht zu. Wir haben Lodash entfernt
v3.0. Ich denke, es gab einige Probleme für uns, diesen Minderjährigen zu verlassen
Version von lodash auf der 2.x-Linie von Async.

Am Freitag, 8. Februar 2019, 2:12 Uhr schrieb Daniel Scalzi < [email protected] :

Stoßen
—
Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworten Sie direkt auf diese E-Mail und zeigen Sie sie auf GitHub an
https://github.com/caolan/async/issues/1620#issuecomment-461784127 oder stumm
der Faden
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.

aearly am 9. Feb. 2019

👍1

Ich denke, ein einfaches Patch-Update würde ausreichen.

oder setzen Sie v3.0.0 als latest auf npm, da es derzeit nur next ist und nicht von npm outdated angezeigt wird

dscalzi am 10. Feb. 2019

Das Aktualisieren von lodash war kein Problem, ich habe v2.6.2 mit dem Update veröffentlicht.

aearly am 12. Feb. 2019

👍2 🎉1

War diese Seite hilfreich?

0 / 5 - 0 Bewertungen

Verwandte Themen

TypeError: Die Eigenschaft 'Symbol(Symbol.toStringTag)' von undefined kann nicht gelesen werden

cobya · 5Kommentare

Feature/Support - Leeres Taskset -> finaler Callback automatisch beim nächsten Tick ausgelöst?

ORESoftware · 3Kommentare

async.auto & der merkwürdige Fall von try ... catch

trvra · 3Kommentare

Frage: Reihenfolge der async.parallelen Ergebnisse

AaronAcerboni · 3Kommentare

Jede Serie mit einem verschachtelten asynchronen Aufruf führt dazu, dass die maximale Größe des Aufrufstapels überschritten wird

brainthinks · 3Kommentare