Request: Schwachstelle im Hoek-Paket

Ich habe heute früher versucht, auf Hawk v7.0.7 zu stoßen, aber der Test ist fehlgeschlagen. Ich musste abspringen, um etwas anderes zu tun, aber ich kam nur bis zu diesem schnelleren Weg, um den Test durchzuführen:

npx taper tests/test-hawk.js

Soweit ich es verstehe, handelt es sich um ein cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , in Bezug auf hoek < v5.0.3 ; request v2.85.1 erfordert hawk ~6.0.2 , was hoek 4.x.x erfordert. request erfordert hawk ~6.0.2 , um die Kompatibilität mit Knoten 4 aufrechtzuerhalten.

• der cve gibt an, dass „_hoek node module before 5.0.3 leidet unter …_“ und verweist auf https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee als Fix in hoek v5.0.3

• hoek v4.2.1 hat jedoch auch diesen Fix:
  https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
  https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116

daher sieht es so aus, als würde cve hoek v4.2.1 fälschlicherweise als angreifbar betrachten und könnte der Grund dafür sein, dass so viele Github-Repositorys jetzt eine Schwachstelle melden. Ich habe eine E-Mail an nvd.nist.gov bezüglich des Problems gesendet.

Siehe hier: https://github.com/request/request/issues/2891#issuecomment -372271727

Um die Ergebnisse von dan-nl zu bestätigen, geben beide Links von securityfocus und hackerone im CVE an, dass es behoben wurde

Nicht anfällig:
| Hoek Hoek 4.2.1
| Hoek-Hoek 5.0.3

vdeturckheim hat einen Kommentar gepostet. 15. Februar (vor 2 Monaten)
Fix wurde auf die 4.x-Spur des Moduls zurückportiert und als 4.2.1 veröffentlicht. (siehe https://github.com/hapijs/hoek/pull/231 )

und es wird von @nlf in https://github.com/hapijs/hoek/issues/230#issuecomment -366056246 bestätigt

Es wurde behoben.
Um weiter zu diskutieren, (…)

@warpdesign hast du gesagt

Die Anforderung hängt von der Hawk-Version ~6.0.2 ab. Ein Update auf Hawk Version 7.0.0 würde das Problem beheben

Aber wie mache ich das, wenn ich hawk nicht direkt als Abhängigkeit habe?

[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
  └─┬ [email protected]
    ├─┬ [email protected]
    │ └── [email protected]  deduped
    ├─┬ [email protected]
    │ └─┬ [email protected]
    │   └── [email protected]  deduped
    ├── [email protected] 
    └─┬ [email protected]
      └── [email protected]  deduped

Welcher npm-Befehl? npm update request hat den Job nicht gemacht. Auch nicht npm update hoek
Danke

Du kannst nicht. Sie müssen warten, bis Request eine neue Version veröffentlicht, die Hawk 7 verwendet. Das ist das Problem.

Kann bestätigen, ich hatte 6 Repos, die von Github wegen der Hoek-Schwachstelle wegen der Anforderungsbibliothek gekennzeichnet wurden.

@jfoclpf Ich denke, es sollte möglich sein, das Problem vorübergehend zu beheben, indem Forks mit einer aktualisierten Version veröffentlicht werden. Aber du willst diesen Weg nicht gehen. Warten Sie besser auf eine offizielle Lösung (die nicht lange auf sich warten lassen sollte, da der vce-Status nur für hoek v4.2.1 aktualisiert werden muss).

Nach dem, was mir von anderen Paketen gesagt wurde, ist es ein falsch positives Ergebnis von Github. In dieser Version von hoek gibt es keine Schwachstelle. Trotzdem ist es ärgerlich und warten wir also auf ein offizielles Update von request .

Die Veröffentlichungslinie von Node.js 4.x endet am 30. April, die Kompatibilität damit sollte danach kein Problem mehr sein.

ja, hallo :wave: hoek Betreuer hier. Version 4.2.1 wurde gepatcht . Die Warnungen von github sind derzeit falsch. Ich habe eine Anfrage zur Korrektur des Versionsbereichs in der CVE eingereicht und auch einige nette Leute bei Github belästigt, damit sie sich ihrerseits um die Dinge kümmern. _hoffentlich_ hören sie auf, diese Version bald als angreifbar zu melden.

https://github.com/request/request/issues/2926#issuecomment -385087487
Version 4.2.1 wurde gepatcht

https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
Ich habe eine Anfrage zur Aktualisierung des CVE eingereicht, hoffentlich wird das bald geschehen und GitHub kann ihre Datenbank aktualisieren. Bis dahin liegt das alles nicht in meiner Hand. Ich lasse dies offen in der Hoffnung, dass andere Leute es finden werden.

!?

@dskalzi ,

hawk > v7.0.0 stellt die Unterstützung für Knoten 4 und 6 ein
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml

hawk >= v7.0.0 enthält hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19

hoek v5.x.x stellt die Unterstützung für Knoten 4 und 6 ein
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml

Wie geht dieses Problem jetzt, bitte?

@diamont1001 ist bereits behoben

@Bjornskjald bist du sicher?

[email protected]/1 -> [email protected] -> [email protected]

@diamont1001 Hoek 4.2.1 hat das Bugfix zurückportiert

@Björnskjald

@diamont1001, denn wenn Sie nicht faul genug wären, die gesamte Diskussion zu lesen, würden Sie sehen, dass es sich um einen Fehler bei GitHub handelt, und der Hoek-Betreuer hat sie bereits kontaktiert ...

@nlf Danke, dass du diesen Thread früher aktualisiert hast! Gibt es schon Antworten von Github? Ich überlege auch, sie anzupingen...

Status-Update?

Status-Update?

@phillmv von @GitHub- Mitarbeitern hat eine Erklärung unter https://github.com/hapijs/hoek/issues/247#issuecomment -386708295 veröffentlicht:

[...] Wir haben die Versionen repariert, auf die wir am Montag aufmerksam gemacht haben, und ich persönlich habe heute früher alle fehlerhaften Warnungen gelöscht. [...]

Hallo, ich habe die ganze Diskussion gelesen, aber ich habe immer noch das Problem.
Ich habe npm audit ausgeführt und mich über 11 Schwachstellen im Hoek-Paket gemeldet.
Ich habe es auf 7.0.7 aktualisiert, aber nichts hat sich geändert. Ich habe auch das Hawk-Paket wie oben vorgeschlagen aktualisiert, aber es hat sich immer noch nichts geändert.
Kannst du mir bitte helfen?

@NadGu Bitte überprüfen Sie zuerst Ihre Datei package-lock.json.

@diamont1001 gerade fertig. Die Hoek-Version ist 4.2.1. Was kann ich tun, um es zu aktualisieren?

[email protected] ist in Ordnung.
Ich denke, dass Sie nur warten müssen, bis Github die Daten aktualisiert, zumindest habe ich es damals getan, und es hat funktioniert.

@diamont1001 Also lass uns warten! Zumindest habe ich alles getan, was ich konnte. Danke!

@nadgu Hallo!

Wollen Sie damit sagen, dass Sie ein Repository auf GitHub haben, in dem wir immer noch eine Version von 4.2.1 als angreifbar kennzeichnen? Das sollte nicht passieren!

Bitte senden Sie eine E-Mail an [email protected] mit dem Repository-Link und erwähnen Sie @phillmv und wir übernehmen es von dort :).

Dieses Problem wurde automatisch als veraltet markiert, da es in letzter Zeit keine Aktivität gab. Es wird geschlossen, wenn keine weiteren Aktivitäten stattfinden. Vielen Dank für Ihre Beiträge.