Moment: कमजोर नियमित अभिव्यक्ति

को निर्मित 8 सित॰ 2017  ·  24टिप्पणियाँ  ·  स्रोत: moment/moment

तार के रूप में निर्दिष्ट तारीखों को पार्स करने के लिए उपयोग की जाने वाली नियमित अभिव्यक्ति, ReDoS के लिए असुरक्षित है:

/[0-9]*['a-z\u00A0-\u05FF\u0700-\uD7FF\uF900-\uFDCF\uFDF0-\uFFEF]+|[\u0600-\u06FF\/]+(\s*?[\u0600-\u06FF]+){1,2}/i

सुस्ती मध्यम कम है: 2 सेकंड के मिलान समय के आसपास 50.000 वर्णों के लिए। हालाँकि, मैं अभी भी निम्नलिखित में से एक का सुझाव दूंगा:

  • रेगेक्स निकालें,
  • रेग्ज एंकर,
  • दोहराए जाने वाले वर्णों की संख्या को सीमित करें,
  • इनपुट आकार को सीमित करें।

यदि आवश्यक हो, तो मैं मंदी दिखाते हुए एक वास्तविक उदाहरण प्रदान कर सकता हूं।

Bug Up-For-Grabs

सबसे उपयोगी टिप्पणी

हम इसकी सराहना करेंगे कि इसके लिए सुधार शीघ्र किया जा सकता है, अब जब यह nsp में लॉग इन हो गया है तो यह हमारे निर्माण को विफल कर रहा है।

सभी 24 टिप्पणियाँ

स्पष्टीकरण के लिए, यह matchWord regex में, /src/lib/parse/regex.js यहाँ है

यहाँ नियमित अभिव्यक्ति का एक रेलमार्ग आरेख है । इससे हम देख सकते हैं कि पुनरावृत्ति के साथ समूहीकरण अरबी वर्णों को पार्स करने से संबंधित है। यह उपयोगी होगा यदि कोई व्यक्ति जो नियमित अभिव्यक्ति और अरबी भाषा दोनों को समझता है, वह इस पर एक दरार ले सकता है।

ReDoS का

बीमार ले लो यह कोई भी पहले से ही शुरू नहीं हुआ है

@hamiltondanielb आप सभी :)

@cristianstaicu
यदि आवश्यक हो, तो मैं मंदी दिखाते हुए एक वास्तविक उदाहरण प्रदान कर सकता हूं।

मैं एक उदाहरण देखना चाहता हूँ अगर यह संभव है :)

@ Drag0s ने इसे आपके निजी ईमेल पर भेजा है।

FYI करें, इसे NSP में जोड़ा गया ( यहाँ देखें), इसलिए यह शायद लोगों के बिल्ड को जल्द ही तोड़ना शुरू करने वाला है।

@hamiltondanielb - क्या आप कहीं भी इसे देख रहे हैं?

बस हमारा बिल्ड ब्रेक था 👯

यह दुखद है कि इस मुद्दे को तय होने से पहले सार्वजनिक होना पड़ा। आज 8 सितंबर को प्रकाशित एनएसपी की सलाह पर मुद्दा खोला गया। @cristianstaicu शायद आपको कुछ समय देने के लिए प्रकटीकरण की समय सीमा के बारे में याद दिलाया जाना चाहिए।

@mattgrande इस के लिए एक मेटा-नेस है: nsp के संस्करण को हमने पिन किया था (2.8.1) पल पर निर्भर करता है (जोई के माध्यम से) इसलिए यह अपने स्वयं के निर्भरता पर भेद्यता की रिपोर्ट कर रहा था:

1__bash

3.1.0 nsp में अपग्रेड करना, इसका समाधान किया क्योंकि निर्भरता अब नहीं है - इसलिए इससे सावधान रहें यदि आप सीधे क्षण पर निर्भर नहीं हैं।

क्या इसके लिए अभी तक कोई तय है?

कृपया उपलब्ध किसी भी फिक्स की सलाह दें?

अभी तक कोई फिक्स प्रकाशित नहीं किया गया है।

कृपया, यदि आप अनुरक्षकों से अपडेट प्राप्त करने में रुचि रखते हैं, तो दाहिने हाथ के कॉलम में "सदस्यता लें" पर क्लिक करके इस मुद्दे के अपडेट के लिए सूचनाओं की सदस्यता लें।

इसके लिए nsp अपवाद जोड़ने के लिए, .nsprc फ़ाइल जोड़ें:

{
  "exceptions": [
     "https://nodesecurity.io/advisories/532"
  ]
}

धन्यवाद @ westy92 ! मेरा निर्माण बचाया।

हाय @ westy92 और
var कार्यमैथोड्स = आवश्यकता होती है ('गुलफ़िले-निन्केम');
gulp.task ('nsp', functionsMethods.nsp);
इसके .nsprc फ़ाइल अपवाद को नहीं उठा रहा है। यह मुझे पल-पल के लिए भेद्यता त्रुटि देता रहता है।
मैंने प्रोजेक्ट के रूट पर फ़ाइल जोड़ी। क्या मुझे ऐसा करने के लिए कुछ याद आ रहा है?

@Dexterslab हम gulp-nsp का उपयोग कर रहे हैं, जो ठीक काम करता है जब .nsprc प्रोजेक्ट डायरेक्टरी में होता है (समान स्तर package.json )। शायद gulp-nsp सीधे का उपयोग करने का प्रयास करें?

@cristianstaicu @mattgrande क्या

हम इसकी सराहना करेंगे कि इसके लिए सुधार शीघ्र किया जा सकता है, अब जब यह nsp में लॉग इन हो गया है तो यह हमारे निर्माण को विफल कर रहा है।

क्या मैं अनुरक्षकों को इस कॉनवो को बंद करने का सुझाव दे सकता हूं?
एक फिक्स के लिए इंतजार कर रहे सभी के लिए, बस सदस्यता बटन दबाएं, और आपको सूचित किया जाएगा।

अगर किसी को भी ठीक करना है, तो बेझिझक पीआर खोलें।

इसके लिए एक पीआर पहले से ही https://github.com/moment/moment/pull/4326 है

क्या किसी को nsp सूचित करने की आवश्यकता है जिसे यह पैच किया गया है? https://nodesecurity.io/advisories/532

यह संस्करण 2.19.3 में तय किया गया है। तदनुसार अपडेट करें।

मुझे यकीन नहीं है कि NSP - @cristianstaicu को कैसे सूचित किया जा सकता है?

मैंने [email protected] ईमेल

नमस्ते,

वर्तमान में बकाया पल.जेएस भेद्यता (https://nodesecurity.io/advisories/532) हाल ही में पैच किया गया जारी किया गया था।

सलाहकारों पर स्थिति अपडेट की रिपोर्ट करने के लिए क्या प्रक्रिया है? यह ईमेल पता सबसे अच्छा एवेन्यू है जो मुझे मिल सकता है।

धन्यवाद!

बस एक जवाब मिला कि एनएसपी डीबी को निर्धारित संस्करण के रूप में 2.19.3 के साथ अपडेट किया जाना चाहिए।

मेरे अंत में सत्यापित है कि 2.19.3 अब अलर्ट नहीं है।

क्या यह पृष्ठ उपयोगी था?
0 / 5 - 0 रेटिंग्स