Ada kerentanan dalam paket hoek yang dibutuhkan oleh hawk yang bergantung pada permintaan itu.
Permintaan tergantung pada versi hawk ~6.0.2 . Memperbarui ke versi hawk 7.0.0 akan memperbaiki masalah.
warpdesign
Semua 29 komentar
Saya mencoba menabrak hawk v7.0.7 sebelumnya hari ini tetapi tesnya gagal. Saya harus melompat untuk melakukan sesuatu yang lain tetapi saya hanya sampai sejauh ini cara yang lebih cepat untuk menjalankan tes:
npx taper tests/test-hawk.js
crccheck
pada 27 Apr 2018
sejauh yang saya mengerti, masalahnya adalah dengan cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , mengenai hoek < v5.0.3 ; request v2.85.1 membutuhkan hawk ~6.0.2 , yang membutuhkan hoek 4.x.x . request membutuhkan hawk ~6.0.2 untuk menjaga kompatibilitas dengan node 4.
cve menyatakan bahwa “_hoek node module sebelum 5.0.3 menderita …_” dan referensi https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee sebagai perbaikan di
hoek v5.0.3namun,
hoek v4.2.1juga memiliki perbaikan itu:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
dengan demikian, tampaknya cve salah mempertimbangkan hoek v4.2.1 sebagai rentan dan mungkin mengapa begitu banyak repo github sekarang melaporkan kerentanan. saya mengirim email ke nvd.nist.gov tentang masalah ini.
dan-nl
pada 27 Apr 2018
Lihat di sini: https://github.com/request/request/issues/2891#issuecomment -372271727
ptrcnull
pada 27 Apr 2018
Untuk mengkonfirmasi temuan dan-nl, baik tautan dari securityfocus dan hackerone di CVE menyatakan bahwa itu telah diperbaiki
Tidak Rentan:
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheim mengirim komentar. 15 Februari (2 bulan lalu)
Perbaikan telah di-backport ke 4.x track modul dan diterbitkan sebagai 4.2.1. (lihat https://github.com/hapijs/hoek/pull/231 )
dan itu dikonfirmasi oleh @nlf di https://github.com/hapijs/hoek/issues/230#issuecomment -366056246
Ini telah diperbaiki.
Untuk pembahasan lebih lanjut, (…)
PhilippeVay
pada 27 Apr 2018
@warpdesign katamu
Permintaan tergantung pada versi hawk ~6.0.2. Memperbarui ke hawk versi 7.0.0 akan memperbaiki masalah
Tetapi bagaimana saya melakukannya jika saya tidak memiliki hawk secara langsung sebagai ketergantungan?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
perintah npm yang mana? npm update request tidak berhasil. Atau npm update hoek
Terima kasih
jfoclpf
pada 27 Apr 2018
Anda tidak bisa. Anda harus menunggu hingga Request menerbitkan versi baru yang menggunakan Hawk 7. Itu masalahnya.
jbreckmckye
pada 27 Apr 2018
Dapat mengonfirmasi, saya memiliki 6 repo yang ditandai oleh github karena memiliki kerentanan hoek karena perpustakaan permintaan.
johnbeech
pada 27 Apr 2018
@jfoclpf Saya kira mungkin untuk sementara memperbaiki masalah dengan menerbitkan garpu dengan versi yang diperbarui. Tapi Anda tidak ingin pergi jalan ini. Lebih baik menunggu resolusi resmi (yang seharusnya tidak lama lagi karena status vce hanya perlu diperbarui untuk hoek v4.2.1 ).
warpdesign
pada 27 Apr 2018
Menurut apa yang saya telah diberitahu dari paket lain, itu positif palsu dari github. Tidak ada kerentanan dalam versi hoek itu. Meskipun demikian itu menjengkelkan dan karenanya mari kita tunggu pembaruan resmi request .
jfoclpf
pada 27 Apr 2018
Lini rilis Node.js 4.x akan berakhir pada tanggal 30 April, kompatibilitas dengannya seharusnya tidak menjadi masalah setelah itu.
dscalzi
pada 27 Apr 2018
ya, hai :wave: hoek pemelihara di sini. versi 4.2.1 telah ditambal . peringatan github saat ini salah. saya telah mengajukan permintaan untuk memperbaiki rentang versi di CVE dan juga melecehkan beberapa orang baik di github untuk mengurus hal-hal di pihak mereka. _mudah-mudahan_ mereka akan segera berhenti melaporkan versi itu sebagai rentan.
nlf
pada 27 Apr 2018
https://github.com/request/request/issues/2926#issuecomment -385087487
versi 4.2.1 telah ditambal
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
Saya mengajukan permintaan untuk memperbarui CVE, semoga itu segera terjadi dan GitHub dapat memperbarui db mereka. Sampai itu terjadi, ini semua di luar kendaliku. Saya membiarkan ini terbuka dengan harapan orang lain akan menemukannya.
!?
yumetodo
pada 28 Apr 2018
@dscalzi ,
hawk > v7.0.0 menjatuhkan dukungan untuk node 4 dan 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0 termasuk hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x menjatuhkan dukungan untuk node 4 dan 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
dan-nl
pada 29 Apr 2018
Bagaimana masalah ini sekarang plz?
diamont1001
pada 2 Mei 2018
@diamont1001 sudah diperbaiki
ptrcnull
pada 2 Mei 2018
@Bjornskjald apakah kamu yakin?
[email protected]/1 -> [email protected] -> [email protected]
diamont1001
pada 2 Mei 2018
@diamont1001 hoek 4.2.1 memiliki perbaikan bug yang di-backport
ptrcnull
pada 2 Mei 2018
@Bjornskjald
diamont1001
pada 2 Mei 2018
@diamont1001 karena jika Anda tidak cukup malas untuk membaca seluruh diskusi, Anda akan melihat itu adalah bug dengan GitHub dan pengelola hoek sudah menghubungi mereka...
ptrcnull
pada 2 Mei 2018
@nlf Terima kasih telah memperbarui utas ini sebelumnya! Sudah ada tanggapan dari Github? Saya sedang mempertimbangkan untuk ping mereka juga...
JessicaSachs
pada 3 Mei 2018
pembaruan status?
debragail
pada 4 Mei 2018
pembaruan status?
@phillmv dari staf @GitHub telah memposting penjelasan di https://github.com/hapijs/hoek/issues/247#issuecomment -386708295:
[...] Kami memperbaiki versi yang kami waspadai pada hari Senin, dan saya pribadi menghapus semua peringatan buruk sebelumnya hari ini. [...]
cmfcmf
pada 4 Mei 2018
Hai, Saya telah membaca semua diskusi tetapi saya masih mengalami masalah.
Saya telah menjalankan npm audit dan melaporkan saya tentang 11 kerentanan terhadap paket hoek.
Saya telah memperbaruinya ke 7.0.7 tetapi tidak ada yang berubah. Saya juga telah memperbarui paket hawk seperti yang disarankan di atas tetapi masih tidak ada yang berubah.
Bisakah Anda menolong saya?
ghost
pada 24 Mei 2018
@NadGu tolong periksa file package-lock.json Anda terlebih dahulu.
diamont1001
pada 24 Mei 2018
@diamont1001 selesai sekarang. Versi hoek adalah 4.2.1. Apa yang bisa saya lakukan untuk memperbaruinya?
ghost
pada 24 Mei 2018
[email protected] tidak apa-apa.
Saya pikir Anda hanya perlu menunggu github untuk menyegarkan data, setidaknya saya melakukannya pada saat itu, dan itu berhasil.
diamont1001
pada 24 Mei 2018
@diamont1001 Jadi mari kita tunggu! Setidaknya saya melakukan semua yang saya bisa. Terima kasih!
ghost
pada 24 Mei 2018
@nadgu Hai!
Apakah Anda mengatakan Anda memiliki repositori di GitHub di mana kami masih menandai versi 4.2.1 sebagai rentan? Itu tidak seharusnya terjadi!
Silakan kirim email ke [email protected] dengan tautan repositori dan sebutkan @phillmv dan kami akan mengambilnya dari sana :).
phillmv
pada 24 Mei 2018
Masalah ini secara otomatis ditandai sebagai basi karena tidak ada aktivitas terbaru. Ini akan ditutup jika tidak ada aktivitas lebih lanjut yang terjadi. Terima kasih atas kontribusi Anda.
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
pada 24 Mei 2019
Masalah terkait
pixarfilmz112
·
3Komentar
svlungade
·
3Komentar
crostine
·
3Komentar
lupo9557
·
3Komentar
ORESoftware
·
4Komentar
Komentar yang paling membantu
ya, hai :wave: hoek pemelihara di sini. versi 4.2.1 telah ditambal . peringatan github saat ini salah. saya telah mengajukan permintaan untuk memperbaiki rentang versi di CVE dan juga melecehkan beberapa orang baik di github untuk mengurus hal-hal di pihak mereka. _mudah-mudahan_ mereka akan segera berhenti melaporkan versi itu sebagai rentan.