Request: Vulnérabilité dans le paquet hoek
Il existe une vulnĂ©rabilitĂ© dans le package hoek qui est requise par hawk dont dĂ©pend la requĂȘte.
La demande dépend de la version hawk ~6.0.2 . La mise à jour vers la version hawk 7.0.0 résoudrait le problÚme.
warpdesign
Tous les 29 commentaires
J'ai essayé de passer à Hawk v7.0.7 plus tÎt dans la journée, mais le test a échoué. J'ai dû sauter pour faire autre chose, mais je n'ai eu que ce moyen plus rapide d'exécuter le test :
npx taper tests/test-hawk.js
crccheck
le 27 avr. 2018
pour autant que je sache, le problĂšme est avec un cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , concernant hoek < v5.0.3 ; request v2.85.1 nĂ©cessite hawk ~6.0.2 , ce qui nĂ©cessite hoek 4.x.x . request nĂ©cessite hawk ~6.0.2 pour maintenir la compatibilitĂ© avec le nĆud 4.
le cve indique que "le module de nĆud _hoek avant 5.0.3 souffre de ⊠_" et fait rĂ©fĂ©rence Ă https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee comme correctif dans
hoek v5.0.3cependant,
hoek v4.2.1a également ce correctif :
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
ainsi, il semble que le cve considĂšre Ă tort hoek v4.2.1 comme vulnĂ©rable et peut ĂȘtre la raison pour laquelle tant de dĂ©pĂŽts github signalent maintenant une vulnĂ©rabilitĂ©. J'ai envoyĂ© un e-mail Ă nvd.nist.gov Ă propos du problĂšme.
dan-nl
le 27 avr. 2018
Voir ici : https://github.com/request/request/issues/2891#issuecomment -372271727
ptrcnull
le 27 avr. 2018
Pour confirmer les conclusions de dan-nl, les deux liens de securityfocus et hackerone dans le CVE indiquent qu'il a été corrigé
Non vulnérable :
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheim a publié un commentaire. 15 février (il y a 2 mois)
Le correctif a été rétroporté sur la piste 4.x du module et publié en tant que 4.2.1. (voir https://github.com/hapijs/hoek/pull/231 )
et c'est confirmé par @nlf dans https://github.com/hapijs/hoek/issues/230#issuecomment -366056246
Il a été corrigé.
Pour en discuter davantage, (âŠ)
PhilippeVay
le 27 avr. 2018
@warpdesign vous avez dit
La demande dépend de la version de Hawk ~6.0.2. La mise à jour vers la version 7.0.0 de Hawk résoudrait le problÚme
Mais comment puis-je faire cela si je n'ai pas de faucon directement comme dépendance?
[email protected] /home/jfolpf/autocosts
ââ⏠[email protected]
ââ⏠[email protected]
ââ⏠[email protected]
â âââ [email protected] deduped
ââ⏠[email protected]
â ââ⏠[email protected]
â âââ [email protected] deduped
âââ [email protected]
ââ⏠[email protected]
âââ [email protected] deduped
quelle commande npm? npm update request n'a pas fait le travail. Ni npm update hoek
Merci
jfoclpf
le 27 avr. 2018
Vous ne pouvez pas. Il faut attendre que Request publie une nouvelle version qui utilise Hawk 7. C'est bien lĂ le problĂšme.
jbreckmckye
le 27 avr. 2018
Je peux confirmer, j'ai eu 6 dĂ©pĂŽts signalĂ©s par github pour avoir la vulnĂ©rabilitĂ© hoek Ă cause de la bibliothĂšque de requĂȘtes.
johnbeech
le 27 avr. 2018
@jfoclpf Je suppose qu'il devrait ĂȘtre possible de rĂ©soudre temporairement le problĂšme en publiant des fourches avec une version mise Ă jour. Mais vous ne voulez pas suivre cette route. Mieux vaut attendre une rĂ©solution officielle (qui ne devrait pas tarder Ă venir car l'Ă©tat vce doit juste ĂȘtre mis Ă jour pour hoek v4.2.1 ).
warpdesign
le 27 avr. 2018
D'aprÚs ce qu'on m'a dit d'autres packages, c'est un faux positif de github. Il n'y a pas de vulnérabilité dans cette version de hoek . Néanmoins c'est ennuyeux et attendons donc une mise à jour officielle de request .
jfoclpf
le 27 avr. 2018
La ligne de version Node.js 4.x arrive en fin de vie le 30 avril, la compatibilitĂ© avec elle ne devrait plus ĂȘtre un problĂšme aprĂšs cette date.
dscalzi
le 27 avr. 2018
oui, salut :wave: hoek mainteneur ici. la version 4.2.1 a été corrigée . les alertes de github sont actuellement erronées. J'ai soumis une demande pour corriger la plage de versions dans le CVE et j'ai également harcelé certaines personnes aimables de github pour qu'elles s'occupent des choses de leur cÎté. _espérons_ qu'ils cesseront bientÎt de signaler cette version comme vulnérable.
nlf
le 27 avr. 2018
https://github.com/request/request/issues/2926#issuecomment -385087487
la version 4.2.1 a été corrigée
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
J'ai soumis une demande de mise à jour du CVE, j'espÚre que cela arrivera bientÎt et que GitHub pourra mettre à jour sa base de données. Jusqu'à ce que cela se produise, tout cela est hors de mes mains. Je le laisse ouvert dans l'espoir que d'autres personnes le trouveront.
!?
yumetodo
le 28 avr. 2018
@dscalzi ,
hawk > v7.0.0 supprime la prise en charge des nĆuds 4 et 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0 comprend hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x supprime la prise en charge des nĆuds 4 et 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
dan-nl
le 29 avr. 2018
Comment va ce problĂšme maintenant svp ?
diamont1001
le 2 mai 2018
@diamont1001 c'est déjà réparé
ptrcnull
le 2 mai 2018
@Bjornskjald es-tu sûr?
[email protected]/1 -> [email protected] -> [email protected]
diamont1001
le 2 mai 2018
@diamont1001 hoek 4.2.1 a le correctif rétroporté
ptrcnull
le 2 mai 2018
@Bjornskjald
diamont1001
le 2 mai 2018
@diamont1001 parce que si vous n'étiez pas assez paresseux pour lire toute la discussion, vous verriez que c'est un bogue avec GitHub et le responsable de hoek les a déjà contactés...
ptrcnull
le 2 mai 2018
@nlf Merci d'avoir mis à jour ce fil plus tÎt ! Une réponse de Github pour le moment ? J'envisage de les pinger aussi...
JessicaSachs
le 3 mai 2018
mise Ă jour du statut?
debragail
le 4 mai 2018
mise Ă jour du statut?
@phillmv du personnel de @GitHub a publié une explication sur https://github.com/hapijs/hoek/issues/247#issuecomment -386708295 :
[...] Nous avons corrigé les versions sur lesquelles nous alertions lundi, et j'ai personnellement supprimé toutes les mauvaises alertes plus tÎt dans la journée. [...]
cmfcmf
le 4 mai 2018
Bonjour, j'ai lu toute la discussion mais j'ai toujours le problĂšme.
J'ai exécuté l'audit npm et m'a signalé environ 11 vulnérabilités au package hoek.
Je l'ai mis à jour vers 7.0.7 mais rien n'a changé. J'ai également mis à jour le package hawk comme suggéré ci-dessus, mais rien n'a changé.
Pouvez-vous m'aider s'il vous plaĂźt?
ghost
le 24 mai 2018
@NadGu plz vérifiez d'abord votre fichier package-lock.json.
diamont1001
le 24 mai 2018
@diamont1001 fait maintenant. La version de hoek est 4.2.1. Que puis-je faire pour le mettre Ă jour ?
ghost
le 24 mai 2018
[email protected] est correct.
Je pense que vous n'avez qu'à attendre que github actualise les données, du moins je l'ai fait à l'époque, et cela a fonctionné.
diamont1001
le 24 mai 2018
@diamont1001 Alors attendons ! Au moins, j'ai fait tout ce que j'ai pu. Merci!
ghost
le 24 mai 2018
@nadgu Salut !
Ătes-vous en train de dire que vous avez un rĂ©fĂ©rentiel sur GitHub oĂč nous signalons toujours une version de 4.2.1 comme Ă©tant vulnĂ©rable ? Cela ne devrait pas arriver !
Veuillez envoyer un e-mail à [email protected] avec le lien du référentiel et mentionner @phillmv et nous le prendrons à partir de là :).
phillmv
le 24 mai 2018
Ce problÚme a été automatiquement marqué comme obsolÚte, car il n'a pas eu d'activité récente. Il sera fermé s'il n'y a plus d'activité. Merci pour vos contributions.
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
le 24 mai 2019
Questions connexes
crostine
·
3Commentaires
matrosov-nikita
·
3Commentaires
jdarling
·
3Commentaires
andornaut
·
4Commentaires
xin7c
·
3Commentaires
Commentaire le plus utile
oui, salut :wave: hoek mainteneur ici. la version 4.2.1 a été corrigée . les alertes de github sont actuellement erronées. J'ai soumis une demande pour corriger la plage de versions dans le CVE et j'ai également harcelé certaines personnes aimables de github pour qu'elles s'occupent des choses de leur cÎté. _espérons_ qu'ils cesseront bientÎt de signaler cette version comme vulnérable.