重大度の高い脆弱性
ここにあなたの問題を述べてください:
nodemailer-mailgun-transport ^ 2.0.2で「npmaudit」または「npminstall」を実行します
私に与える:
「8進数の入力データに対して脆弱なnetmasknpmパッケージ」
「> = 2.0.1でパッチされました」
ネットマスクは、最大30万のライブプロジェクトで使用されます。 脆弱性は約2日前に報告されました。
ねえ、私はpackage-lock.json
にパッチを当てて、脆弱性のないバージョンのネットマスクを使用しようとしました-うまくいったと思いますか? あなたが今見ているものを教えてください:)
クリーンチェックアウトで修正されたようです+ npm install
yarn audit
を介して本番プロジェクトでまだ見ていますが、まだ公開されていないようです
NPMに発表された@anachronic I 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
どうやらnodemailer-mailgun-transportidは、現在は非公式のmailgunライブラリを使用していますか? これは「公式」バージョンへの簡単な交換ですか? 適切な依存関係は「mailgun.js」である必要があるようです。そうすれば、セキュリティの脆弱性が軽減されます(そして、将来の問題に役立つことを願っています)。 ここでの議論: https :
@zhyrinは、誰かがコードの書き換えがどれだけ必要かを確認するために調査を行う必要があると推測しています
興味がない
@zhyrinは、誰かがコードの書き換えがどれだけ必要かを確認するために調査を行う必要があると推測しています
#104はこれに対する修正ではありませんか?
興味がない
すごい! 少なくともあなたはオープンソースがどのように好きかについて正直です
#104はこれに対する修正ではありませんか?
私が見てみましょう
メールガンの最新バージョンはまだ脆弱であるように見えますか? https://snyk.io/advisor/npm-package/mailgun-js
@omerlhもう1つにアップグレードしました-その1つは非推奨です
どれ? 最新バージョンはまだ脆弱であることがわかります: https :
これはmaster(#104を参照)で解決されると思いますが、2.0.3(最後に公開されたバージョン)は修正前の最後のコミットを指しているようです。
よくわかりませんが、新しいバージョンを公開することでこれが解決するのではないでしょうか。
@orliesaurusは、我々は@anachronicの点に基づいて新しいリリースを得ることができますか?
ええ、私は間違いなくマスターにあるアップデートをプッシュする必要があります! みんなありがとう!
このバージョンのバンプに関するタイムラインはありますか? 最新バージョンがマスターに更新される前に、このチケットを閉じる必要がありますか?