Il existe une vulnérabilité dans le package hoek
qui est requise par hawk
dont dĂ©pend la requĂȘte.
La demande dépend de la version hawk ~6.0.2
. La mise Ă jour vers la version hawk 7.0.0
résoudrait le problÚme.
J'ai essayé de passer à Hawk v7.0.7 plus tÎt dans la journée, mais le test a échoué. J'ai dû sauter pour faire autre chose, mais je n'ai eu que ce moyen plus rapide d'exécuter le test :
npx taper tests/test-hawk.js
pour autant que je sache, le problĂšme est avec un cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , concernant hoek < v5.0.3
; request v2.85.1
nécessite hawk ~6.0.2
, ce qui nécessite hoek 4.x.x
. request
nécessite hawk ~6.0.2
pour maintenir la compatibilitĂ© avec le nĆud 4.
le cve indique que "le module de nĆud _hoek avant 5.0.3 souffre de ⊠_" et fait rĂ©fĂ©rence Ă https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee comme correctif dans hoek v5.0.3
cependant, hoek v4.2.1
a également ce correctif :
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
ainsi, il semble que le cve considĂšre Ă tort hoek v4.2.1
comme vulnĂ©rable et peut ĂȘtre la raison pour laquelle tant de dĂ©pĂŽts github signalent maintenant une vulnĂ©rabilitĂ©. J'ai envoyĂ© un e-mail Ă nvd.nist.gov Ă propos du problĂšme.
Voir ici : https://github.com/request/request/issues/2891#issuecomment -372271727
Pour confirmer les conclusions de dan-nl, les deux liens de securityfocus et hackerone dans le CVE indiquent qu'il a été corrigé
Non vulnérable :
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheim a publié un commentaire. 15 février (il y a 2 mois)
Le correctif a été rétroporté sur la piste 4.x du module et publié en tant que 4.2.1. (voir https://github.com/hapijs/hoek/pull/231 )
et c'est confirmé par @nlf dans https://github.com/hapijs/hoek/issues/230#issuecomment -366056246
Il a été corrigé.
Pour en discuter davantage, (âŠ)
@warpdesign vous avez dit
La demande dépend de la version de Hawk ~6.0.2. La mise à jour vers la version 7.0.0 de Hawk résoudrait le problÚme
Mais comment puis-je faire cela si je n'ai pas de faucon directement comme dépendance?
[email protected] /home/jfolpf/autocosts
ââ⏠[email protected]
ââ⏠[email protected]
ââ⏠[email protected]
â âââ [email protected] deduped
ââ⏠[email protected]
â ââ⏠[email protected]
â âââ [email protected] deduped
âââ [email protected]
ââ⏠[email protected]
âââ [email protected] deduped
quelle commande npm? npm update request
n'a pas fait le travail. Ni npm update hoek
Merci
Vous ne pouvez pas. Il faut attendre que Request publie une nouvelle version qui utilise Hawk 7. C'est bien lĂ le problĂšme.
Je peux confirmer, j'ai eu 6 dĂ©pĂŽts signalĂ©s par github pour avoir la vulnĂ©rabilitĂ© hoek Ă cause de la bibliothĂšque de requĂȘtes.
@jfoclpf Je suppose qu'il devrait ĂȘtre possible de rĂ©soudre temporairement le problĂšme en publiant des fourches avec une version mise Ă jour. Mais vous ne voulez pas suivre cette route. Mieux vaut attendre une rĂ©solution officielle (qui ne devrait pas tarder Ă venir car l'Ă©tat vce doit juste ĂȘtre mis Ă jour pour hoek v4.2.1
).
D'aprÚs ce qu'on m'a dit d'autres packages, c'est un faux positif de github. Il n'y a pas de vulnérabilité dans cette version de hoek
. NĂ©anmoins c'est ennuyeux et attendons donc une mise Ă jour officielle de request
.
La ligne de version Node.js 4.x arrive en fin de vie le 30 avril, la compatibilitĂ© avec elle ne devrait plus ĂȘtre un problĂšme aprĂšs cette date.
oui, salut :wave: hoek mainteneur ici. la version 4.2.1 a été corrigée . les alertes de github sont actuellement erronées. J'ai soumis une demande pour corriger la plage de versions dans le CVE et j'ai également harcelé certaines personnes aimables de github pour qu'elles s'occupent des choses de leur cÎté. _espérons_ qu'ils cesseront bientÎt de signaler cette version comme vulnérable.
https://github.com/request/request/issues/2926#issuecomment -385087487
la version 4.2.1 a été corrigée
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
J'ai soumis une demande de mise à jour du CVE, j'espÚre que cela arrivera bientÎt et que GitHub pourra mettre à jour sa base de données. Jusqu'à ce que cela se produise, tout cela est hors de mes mains. Je le laisse ouvert dans l'espoir que d'autres personnes le trouveront.
!?
@dscalzi ,
hawk > v7.0.0
supprime la prise en charge des nĆuds 4 et 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0
comprend hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x
supprime la prise en charge des nĆuds 4 et 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
Comment va ce problĂšme maintenant svp ?
@diamont1001 c'est déjà réparé
@Bjornskjald es-tu sûr?
[email protected]/1 -> [email protected] -> [email protected]
@diamont1001 hoek 4.2.1 a le correctif rétroporté
@Bjornskjald
@diamont1001 parce que si vous n'étiez pas assez paresseux pour lire toute la discussion, vous verriez que c'est un bogue avec GitHub et le responsable de hoek les a déjà contactés...
@nlf Merci d'avoir mis à jour ce fil plus tÎt ! Une réponse de Github pour le moment ? J'envisage de les pinger aussi...
mise Ă jour du statut?
mise Ă jour du statut?
@phillmv du personnel de @GitHub a publié une explication sur https://github.com/hapijs/hoek/issues/247#issuecomment -386708295 :
[...] Nous avons corrigé les versions sur lesquelles nous alertions lundi, et j'ai personnellement supprimé toutes les mauvaises alertes plus tÎt dans la journée. [...]
Bonjour, j'ai lu toute la discussion mais j'ai toujours le problĂšme.
J'ai exécuté l'audit npm et m'a signalé environ 11 vulnérabilités au package hoek.
Je l'ai mis à jour vers 7.0.7 mais rien n'a changé. J'ai également mis à jour le package hawk comme suggéré ci-dessus, mais rien n'a changé.
Pouvez-vous m'aider s'il vous plaĂźt?
@NadGu plz vérifiez d'abord votre fichier package-lock.json.
@diamont1001 fait maintenant. La version de hoek est 4.2.1. Que puis-je faire pour le mettre Ă jour ?
[email protected] est correct.
Je pense que vous n'avez qu'à attendre que github actualise les données, du moins je l'ai fait à l'époque, et cela a fonctionné.
@diamont1001 Alors attendons ! Au moins, j'ai fait tout ce que j'ai pu. Merci!
@nadgu Salut !
Ătes-vous en train de dire que vous avez un rĂ©fĂ©rentiel sur GitHub oĂč nous signalons toujours une version de 4.2.1 comme Ă©tant vulnĂ©rable ? Cela ne devrait pas arriver !
Veuillez envoyer un e-mail à [email protected] avec le lien du référentiel et mentionner @phillmv et nous le prendrons à partir de là :).
Ce problÚme a été automatiquement marqué comme obsolÚte, car il n'a pas eu d'activité récente. Il sera fermé s'il n'y a plus d'activité. Merci pour vos contributions.
Commentaire le plus utile
oui, salut :wave: hoek mainteneur ici. la version 4.2.1 a été corrigée . les alertes de github sont actuellement erronées. J'ai soumis une demande pour corriger la plage de versions dans le CVE et j'ai également harcelé certaines personnes aimables de github pour qu'elles s'occupent des choses de leur cÎté. _espérons_ qu'ils cesseront bientÎt de signaler cette version comme vulnérable.