全てのコメント29件
今日、ホークv7.0.7にぶつかってみましたが、テストが失敗しました。 私は何か他のことをするために飛び降りなければなりませんでしたが、テストを実行するためのこのより速い方法までしか得られませんでした:
npx taper tests/test-hawk.js
crccheck
2018年04月27日
私が理解している限り、問題はcve、 https: //nvd.nist.gov/vuln/detail/CVE-2018-3728、$#$ hoek < v5.0.3に関するものです。 request v2.85.1にはhawk ~6.0.2が必要であり、これにはhoek 4.x.xが必要です。 requestは、ノード4との互換性を維持するためにhawk ~6.0.2を必要とします。
cveは、「5.0.3より前の_hoekノードモジュールは…_に苦しんでいる」と述べており、
hoek v5.0.3の修正としてhttps://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786deeを参照しています。ただし、
hoek v4.2.1にもその修正があります。
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
したがって、cveはhoek v4.2.1を脆弱性と誤って見なしているようであり、これが非常に多くのgithubリポジトリが脆弱性を報告している理由である可能性があります。 この問題についてnvd.nist.govにメールを送信しました。
dan-nl
2018年04月27日
ここを参照してください: https ://github.com/request/request/issues/2891#issuecomment -372271727
ptrcnull
2018年04月27日
dan-nlの調査結果を確認するために、CVEのsecurityfocusとhackeroneからのリンクは両方とも修正されたと述べています
脆弱ではありません:
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheimがコメントを投稿しました。 2月15日(2ヶ月前)
修正はモジュールの4.xトラックにバックポートされ、4.2.1として公開されました。 (https://github.com/hapijs/hoek/pull/231を参照)
https://github.com/hapijs/hoek/issues/230#issuecomment-366056246の@nlfによって確認されています
修正されました。
さらに議論するには、(…)
PhilippeVay
2018年04月27日
あなたが言った@warpdesign
リクエストはタカのバージョン〜6.0.2によって異なります。 hawkバージョン7.0.0にアップデートすると、問題が修正されます
しかし、依存関係として直接hawkを持っていない場合、どうすればよいですか?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
どのnpmコマンド? npm update requestはその仕事をしませんでした。 npm update hoekでもありません
ありがとう
jfoclpf
2018年04月27日
できません。 RequestがHawk7を使用する新しいバージョンを公開するまで待つ必要があります。それが問題です。
jbreckmckye
2018年04月27日
確認できますが、リクエストライブラリが原因で、6つのリポジトリにhoekの脆弱性があるとしてgithubによってフラグが付けられました。
johnbeech
2018年04月27日
@jfoclpf更新されたバージョンでフォークを公開することで、問題を一時的に修正できるはずです。 しかし、あなたはこの道に行きたくありません。 公式の解決を待つ方がよいでしょう(これが来るのに長くはかからないはずですが、vceの状態をhoek v4.2.1に更新する必要があります)。
warpdesign
2018年04月27日
他のパッケージから言われたことによると、それはgithubからの誤検知です。 そのバージョンのhoekには脆弱性はありません。 それにもかかわらず、それは迷惑なので、 requestの公式更新を待ちましょう。
jfoclpf
2018年04月27日
Node.js 4.xリリースラインは4月30日に終了します。それ以降、Node.js4.xとの互換性は問題になりません。
dscalzi
2018年04月27日
はい、こんにちは:wave:ここにhoekメンテナ。 バージョン4.2.1にパッチが適用されました。 githubのアラートは現在間違っています。 私はCVEのバージョン範囲を修正するリクエストを送信しました。また、githubの親切な人々に嫌がらせをして、彼らの側で物事を処理しました。 _うまくいけば_彼らはすぐにそのバージョンを脆弱であると報告するのをやめるでしょう。
nlf
2018年04月27日
https://github.com/request/request/issues/2926#issuecomment -385087487
バージョン4.2.1にパッチが適用されました
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
CVEを更新するリクエストを送信しました。これがすぐに行われ、GitHubでデータベースを更新できるようになることを願っています。 それが起こるまで、これはすべて私の手に負えません。 他の人が見つけてくれることを期待して、これを開いたままにしておきます。
!?
yumetodo
2018年04月28日
@dscalzi 、
hawk > v7.0.0は、ノード4および6のサポートを終了します
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0にはhoek 5.x.x $が含まれます
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.xは、ノード4および6のサポートを終了します
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
dan-nl
2018年04月29日
この問題は今どうなっていますか?
diamont1001
2018年05月02日
@ diamont1001すでに修正されています
ptrcnull
2018年05月02日
@Bjornskjaldは確かですか?
diamont1001
2018年05月02日
@ diamont1001 hoek4.2.1のバグ修正がバックポートされています
ptrcnull
2018年05月02日
@Bjornskjald
diamont1001
2018年05月02日
@ diamont1001なぜなら、ディスカッション全体を読むのに十分な怠惰でない場合は、GitHubのバグであり、hoekメンテナがすでに連絡していることがわかるからです...
ptrcnull
2018年05月02日
@nlfこのスレッドを早く更新してくれてありがとう! Githubからの応答はまだありますか? 私もそれらにpingを実行することを検討しています...
JessicaSachs
2018年05月03日
ステータスアップデート?
debragail
2018年05月04日
ステータスアップデート?
@GitHubスタッフの@phillmvがhttps://github.com/hapijs/hoek/issues/247#issuecomment-386708295に説明を投稿しました。
[...]月曜日にアラートを出すバージョンを修正し、今日の初めにすべての悪いアラートを個人的に削除しました。 [...]
cmfcmf
2018年05月04日
こんにちは、私はすべての議論を読みましたが、私はまだ問題を抱えています。
npm auditを実行し、hoekパッケージに対する11の脆弱性について報告しました。
7.0.7にアップデートしましたが、何も変更されていません。 上記のようにhawkパッケージも更新しましたが、それでも何も変更されていません。
手伝ってくれませんか。
ghost
2018年05月24日
@NadGu plzは、最初にpackage-lock.jsonファイルを確認します。
diamont1001
2018年05月24日
@ diamont1001は現在完了しています。 hoekのバージョンは4.2.1です。 更新するにはどうすればよいですか?
ghost
2018年05月24日
[email protected]は大丈夫です。
githubがデータを更新するのを待つ必要があると思います。少なくとも、その時点でそれを実行しましたが、機能しました。
diamont1001
2018年05月24日
@ diamont1001では、待ちましょう! 少なくとも私はできる限りのことをしました。 ありがとう!
ghost
2018年05月24日
@nadguこんにちは!
GitHubにリポジトリがあり、4.2.1のバージョンに脆弱性があるとしてフラグを立てているということですか? それは起こってはいけません!
リポジトリリンクを添えて[email protected]に電子メールを送り、@ phillmvに言及してください。そこから取得します:)。
phillmv
2018年05月24日
この問題は、最近のアクティビティがないため、自動的に古いものとしてマークされています。 それ以上のアクティビティが発生しない場合は閉じられます。 貢献していただきありがとうございます。
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
2019年05月24日
関連する問題
pixarfilmz112
·
3コメント
xin7c
·
3コメント
Guymestef
·
3コメント
jdarling
·
3コメント
lupo9557
·
3コメント
最も参考になるコメント
はい、こんにちは:wave:ここにhoekメンテナ。 バージョン4.2.1にパッチが適用されました。 githubのアラートは現在間違っています。 私はCVEのバージョン範囲を修正するリクエストを送信しました。また、githubの親切な人々に嫌がらせをして、彼らの側で物事を処理しました。 _うまくいけば_彼らはすぐにそのバージョンを脆弱であると報告するのをやめるでしょう。