Async: lodash에서 발견된 중간 심각도 취약점

에 만든 2019년 02월 04일 · 4코멘트 · 출처: caolan/async

snyk 는 종속성 중 하나인 lodash 4.17.5 에 대한 정규식 서비스 거부 취약점을 보고합니다.

✗ Medium severity vulnerability found in lodash
  Description: Regular Expression Denial of Service (ReDoS)
  Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
  Introduced through: [email protected]
  From: [email protected] > [email protected]
  Remediation:
    Your dependencies are out of date, otherwise you would be using a newer version of lodash. 
    Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.

그리고

Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.

? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1

미리 감사드립니다!

출처

dep

👍2

가장 유용한 댓글

lodash를 업데이트하는 것은 문제가 되지 않았으며 업데이트와 함께 v2.6.2를 게시했습니다.

aearly 에 2019년 02월 12일

👍2 🎉1

모든 4 댓글

충돌

dscalzi 에 2019년 02월 08일

우리는 그 방법을 사용하지 않으므로 우리에게 적용되지 않습니다. 우리는 lodash를 제거했습니다.
v3.0. 마이너에서 마이그레이션하는 데 몇 가지 문제가 있다고 생각합니다.
Async의 2.x 라인에 있는 lodash 버전입니다.

2019년 2월 8일 금요일 오전 2시 12분 Daniel Scalzi < [email protected] 작성:

충돌
—
이 스레드에 가입했기 때문에 이 메시지를 받고 있습니다.
이 이메일에 직접 답장하고 GitHub에서 확인하세요.
https://github.com/caolan/async/issues/1620#issuecomment-461784127 또는 음소거
스레드
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.

aearly 에 2019년 02월 09일

👍1

간단한 패치 업데이트가 트릭을 수행할 것이라고 생각합니다.

또는 v3.0.0을 npm에서 latest 로 설정합니다. 현재 next 이고 npm outdated 로 표시되지 않습니다.

dscalzi 에 2019년 02월 10일

lodash를 업데이트하는 것은 문제가 되지 않았으며 업데이트와 함께 v2.6.2를 게시했습니다.

aearly 에 2019년 02월 12일

👍2 🎉1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Async: lodash에서 발견된 중간 심각도 취약점

가장 유용한 댓글

모든 4 댓글

관련 문제