今日、ホークv7.0.7にぶつかってみましたが、テストが失敗しました。 私は何か他のことをするために飛び降りなければなりませんでしたが、テストを実行するためのこのより速い方法までしか得られませんでした:
npx taper tests/test-hawk.js
私が理解している限り、問題はcve、 https: //nvd.nist.gov/vuln/detail/CVE-2018-3728、$#$ hoek < v5.0.3
に関するものです。 request v2.85.1
にはhawk ~6.0.2
が必要であり、これにはhoek 4.x.x
が必要です。 request
は、ノード4との互換性を維持するためにhawk ~6.0.2
を必要とします。
cveは、「5.0.3より前の_hoekノードモジュールは…_に苦しんでいる」と述べており、 hoek v5.0.3
の修正としてhttps://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786deeを参照しています。
ただし、 hoek v4.2.1
にもその修正があります。
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
したがって、cveはhoek v4.2.1
を脆弱性と誤って見なしているようであり、これが非常に多くのgithubリポジトリが脆弱性を報告している理由である可能性があります。 この問題についてnvd.nist.govにメールを送信しました。
ここを参照してください: https ://github.com/request/request/issues/2891#issuecomment -372271727
dan-nlの調査結果を確認するために、CVEのsecurityfocusとhackeroneからのリンクは両方とも修正されたと述べています
脆弱ではありません:
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheimがコメントを投稿しました。 2月15日(2ヶ月前)
修正はモジュールの4.xトラックにバックポートされ、4.2.1として公開されました。 (https://github.com/hapijs/hoek/pull/231を参照)
https://github.com/hapijs/hoek/issues/230#issuecomment-366056246の@nlfによって確認されています
修正されました。
さらに議論するには、(…)
あなたが言った@warpdesign
リクエストはタカのバージョン〜6.0.2によって異なります。 hawkバージョン7.0.0にアップデートすると、問題が修正されます
しかし、依存関係として直接hawkを持っていない場合、どうすればよいですか?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
どのnpmコマンド? npm update request
はその仕事をしませんでした。 npm update hoek
でもありません
ありがとう
できません。 RequestがHawk7を使用する新しいバージョンを公開するまで待つ必要があります。それが問題です。
確認できますが、リクエストライブラリが原因で、6つのリポジトリにhoekの脆弱性があるとしてgithubによってフラグが付けられました。
@jfoclpf更新されたバージョンでフォークを公開することで、問題を一時的に修正できるはずです。 しかし、あなたはこの道に行きたくありません。 公式の解決を待つ方がよいでしょう(これが来るのに長くはかからないはずですが、vceの状態をhoek v4.2.1
に更新する必要があります)。
他のパッケージから言われたことによると、それはgithubからの誤検知です。 そのバージョンのhoek
には脆弱性はありません。 それにもかかわらず、それは迷惑なので、 request
の公式更新を待ちましょう。
Node.js 4.xリリースラインは4月30日に終了します。それ以降、Node.js4.xとの互換性は問題になりません。
はい、こんにちは:wave:ここにhoekメンテナ。 バージョン4.2.1にパッチが適用されました。 githubのアラートは現在間違っています。 私はCVEのバージョン範囲を修正するリクエストを送信しました。また、githubの親切な人々に嫌がらせをして、彼らの側で物事を処理しました。 _うまくいけば_彼らはすぐにそのバージョンを脆弱であると報告するのをやめるでしょう。
https://github.com/request/request/issues/2926#issuecomment -385087487
バージョン4.2.1にパッチが適用されました
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
CVEを更新するリクエストを送信しました。これがすぐに行われ、GitHubでデータベースを更新できるようになることを願っています。 それが起こるまで、これはすべて私の手に負えません。 他の人が見つけてくれることを期待して、これを開いたままにしておきます。
!?
@dscalzi 、
hawk > v7.0.0
は、ノード4および6のサポートを終了します
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0
にはhoek 5.x.x
$が含まれます
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x
は、ノード4および6のサポートを終了します
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
この問題は今どうなっていますか?
@ diamont1001すでに修正されています
@Bjornskjaldは確かですか?
@ diamont1001 hoek4.2.1のバグ修正がバックポートされています
@Bjornskjald
@ diamont1001なぜなら、ディスカッション全体を読むのに十分な怠惰でない場合は、GitHubのバグであり、hoekメンテナがすでに連絡していることがわかるからです...
@nlfこのスレッドを早く更新してくれてありがとう! Githubからの応答はまだありますか? 私もそれらにpingを実行することを検討しています...
ステータスアップデート?
ステータスアップデート?
@GitHubスタッフの@phillmvがhttps://github.com/hapijs/hoek/issues/247#issuecomment-386708295に説明を投稿しました。
[...]月曜日にアラートを出すバージョンを修正し、今日の初めにすべての悪いアラートを個人的に削除しました。 [...]
こんにちは、私はすべての議論を読みましたが、私はまだ問題を抱えています。
npm auditを実行し、hoekパッケージに対する11の脆弱性について報告しました。
7.0.7にアップデートしましたが、何も変更されていません。 上記のようにhawkパッケージも更新しましたが、それでも何も変更されていません。
手伝ってくれませんか。
@NadGu plzは、最初にpackage-lock.jsonファイルを確認します。
@ diamont1001は現在完了しています。 hoekのバージョンは4.2.1です。 更新するにはどうすればよいですか?
[email protected]は大丈夫です。
githubがデータを更新するのを待つ必要があると思います。少なくとも、その時点でそれを実行しましたが、機能しました。
@ diamont1001では、待ちましょう! 少なくとも私はできる限りのことをしました。 ありがとう!
@nadguこんにちは!
GitHubにリポジトリがあり、4.2.1のバージョンに脆弱性があるとしてフラグを立てているということですか? それは起こってはいけません!
リポジトリリンクを添えて[email protected]に電子メールを送り、@ phillmvに言及してください。そこから取得します:)。
この問題は、最近のアクティビティがないため、自動的に古いものとしてマークされています。 それ以上のアクティビティが発生しない場合は閉じられます。 貢献していただきありがとうございます。
最も参考になるコメント
はい、こんにちは:wave:ここにhoekメンテナ。 バージョン4.2.1にパッチが適用されました。 githubのアラートは現在間違っています。 私はCVEのバージョン範囲を修正するリクエストを送信しました。また、githubの親切な人々に嫌がらせをして、彼らの側で物事を処理しました。 _うまくいけば_彼らはすぐにそのバージョンを脆弱であると報告するのをやめるでしょう。