Ada kerentanan dalam paket hoek
yang dibutuhkan oleh hawk
yang bergantung pada permintaan itu.
Permintaan tergantung pada versi hawk ~6.0.2
. Memperbarui ke versi hawk 7.0.0
akan memperbaiki masalah.
Saya mencoba menabrak hawk v7.0.7 sebelumnya hari ini tetapi tesnya gagal. Saya harus melompat untuk melakukan sesuatu yang lain tetapi saya hanya sampai sejauh ini cara yang lebih cepat untuk menjalankan tes:
npx taper tests/test-hawk.js
sejauh yang saya mengerti, masalahnya adalah dengan cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , mengenai hoek < v5.0.3
; request v2.85.1
membutuhkan hawk ~6.0.2
, yang membutuhkan hoek 4.x.x
. request
membutuhkan hawk ~6.0.2
untuk menjaga kompatibilitas dengan node 4.
cve menyatakan bahwa “_hoek node module sebelum 5.0.3 menderita …_” dan referensi https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee sebagai perbaikan di hoek v5.0.3
namun, hoek v4.2.1
juga memiliki perbaikan itu:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
dengan demikian, tampaknya cve salah mempertimbangkan hoek v4.2.1
sebagai rentan dan mungkin mengapa begitu banyak repo github sekarang melaporkan kerentanan. saya mengirim email ke nvd.nist.gov tentang masalah ini.
Lihat di sini: https://github.com/request/request/issues/2891#issuecomment -372271727
Untuk mengkonfirmasi temuan dan-nl, baik tautan dari securityfocus dan hackerone di CVE menyatakan bahwa itu telah diperbaiki
Tidak Rentan:
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheim mengirim komentar. 15 Februari (2 bulan lalu)
Perbaikan telah di-backport ke 4.x track modul dan diterbitkan sebagai 4.2.1. (lihat https://github.com/hapijs/hoek/pull/231 )
dan itu dikonfirmasi oleh @nlf di https://github.com/hapijs/hoek/issues/230#issuecomment -366056246
Ini telah diperbaiki.
Untuk pembahasan lebih lanjut, (…)
@warpdesign katamu
Permintaan tergantung pada versi hawk ~6.0.2. Memperbarui ke hawk versi 7.0.0 akan memperbaiki masalah
Tetapi bagaimana saya melakukannya jika saya tidak memiliki hawk secara langsung sebagai ketergantungan?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
perintah npm yang mana? npm update request
tidak berhasil. Atau npm update hoek
Terima kasih
Anda tidak bisa. Anda harus menunggu hingga Request menerbitkan versi baru yang menggunakan Hawk 7. Itu masalahnya.
Dapat mengonfirmasi, saya memiliki 6 repo yang ditandai oleh github karena memiliki kerentanan hoek karena perpustakaan permintaan.
@jfoclpf Saya kira mungkin untuk sementara memperbaiki masalah dengan menerbitkan garpu dengan versi yang diperbarui. Tapi Anda tidak ingin pergi jalan ini. Lebih baik menunggu resolusi resmi (yang seharusnya tidak lama lagi karena status vce hanya perlu diperbarui untuk hoek v4.2.1
).
Menurut apa yang saya telah diberitahu dari paket lain, itu positif palsu dari github. Tidak ada kerentanan dalam versi hoek
itu. Meskipun demikian itu menjengkelkan dan karenanya mari kita tunggu pembaruan resmi request
.
Lini rilis Node.js 4.x akan berakhir pada tanggal 30 April, kompatibilitas dengannya seharusnya tidak menjadi masalah setelah itu.
ya, hai :wave: hoek pemelihara di sini. versi 4.2.1 telah ditambal . peringatan github saat ini salah. saya telah mengajukan permintaan untuk memperbaiki rentang versi di CVE dan juga melecehkan beberapa orang baik di github untuk mengurus hal-hal di pihak mereka. _mudah-mudahan_ mereka akan segera berhenti melaporkan versi itu sebagai rentan.
https://github.com/request/request/issues/2926#issuecomment -385087487
versi 4.2.1 telah ditambal
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
Saya mengajukan permintaan untuk memperbarui CVE, semoga itu segera terjadi dan GitHub dapat memperbarui db mereka. Sampai itu terjadi, ini semua di luar kendaliku. Saya membiarkan ini terbuka dengan harapan orang lain akan menemukannya.
!?
@dscalzi ,
hawk > v7.0.0
menjatuhkan dukungan untuk node 4 dan 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0
termasuk hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x
menjatuhkan dukungan untuk node 4 dan 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
Bagaimana masalah ini sekarang plz?
@diamont1001 sudah diperbaiki
@Bjornskjald apakah kamu yakin?
[email protected]/1 -> [email protected] -> [email protected]
@diamont1001 hoek 4.2.1 memiliki perbaikan bug yang di-backport
@Bjornskjald
@diamont1001 karena jika Anda tidak cukup malas untuk membaca seluruh diskusi, Anda akan melihat itu adalah bug dengan GitHub dan pengelola hoek sudah menghubungi mereka...
@nlf Terima kasih telah memperbarui utas ini sebelumnya! Sudah ada tanggapan dari Github? Saya sedang mempertimbangkan untuk ping mereka juga...
pembaruan status?
pembaruan status?
@phillmv dari staf @GitHub telah memposting penjelasan di https://github.com/hapijs/hoek/issues/247#issuecomment -386708295:
[...] Kami memperbaiki versi yang kami waspadai pada hari Senin, dan saya pribadi menghapus semua peringatan buruk sebelumnya hari ini. [...]
Hai, Saya telah membaca semua diskusi tetapi saya masih mengalami masalah.
Saya telah menjalankan npm audit dan melaporkan saya tentang 11 kerentanan terhadap paket hoek.
Saya telah memperbaruinya ke 7.0.7 tetapi tidak ada yang berubah. Saya juga telah memperbarui paket hawk seperti yang disarankan di atas tetapi masih tidak ada yang berubah.
Bisakah Anda menolong saya?
@NadGu tolong periksa file package-lock.json Anda terlebih dahulu.
@diamont1001 selesai sekarang. Versi hoek adalah 4.2.1. Apa yang bisa saya lakukan untuk memperbaruinya?
[email protected] tidak apa-apa.
Saya pikir Anda hanya perlu menunggu github untuk menyegarkan data, setidaknya saya melakukannya pada saat itu, dan itu berhasil.
@diamont1001 Jadi mari kita tunggu! Setidaknya saya melakukan semua yang saya bisa. Terima kasih!
@nadgu Hai!
Apakah Anda mengatakan Anda memiliki repositori di GitHub di mana kami masih menandai versi 4.2.1 sebagai rentan? Itu tidak seharusnya terjadi!
Silakan kirim email ke [email protected] dengan tautan repositori dan sebutkan @phillmv dan kami akan mengambilnya dari sana :).
Masalah ini secara otomatis ditandai sebagai basi karena tidak ada aktivitas terbaru. Ini akan ditutup jika tidak ada aktivitas lebih lanjut yang terjadi. Terima kasih atas kontribusi Anda.
Komentar yang paling membantu
ya, hai :wave: hoek pemelihara di sini. versi 4.2.1 telah ditambal . peringatan github saat ini salah. saya telah mengajukan permintaan untuk memperbaiki rentang versi di CVE dan juga melecehkan beberapa orang baik di github untuk mengurus hal-hal di pihak mereka. _mudah-mudahan_ mereka akan segera berhenti melaporkan versi itu sebagai rentan.