Moment: 취약한 정규 표현식

에 만든 2017년 09월 08일 · 24코멘트 · 출처: moment/moment

문자열로 지정된 날짜를 구문 분석하는 데 사용되는 다음 정규식은 ReDoS에 취약합니다.

/[0-9]*['a-z\u00A0-\u05FF\u0700-\uD7FF\uF900-\uFDCF\uFDF0-\uFFEF]+|[\u0600-\u06FF\/]+(\s*?[\u0600-\u06FF]+){1,2}/i

속도 저하는 보통 낮습니다 : 50.000 자 동안 약 2 초의 일치 시간. 그러나 여전히 다음 중 하나를 제안합니다.

정규식을 제거하고,
정규식 고정,
반복으로 일치시킬 수있는 문자 수를 제한하고,
입력 크기를 제한하십시오.

필요한 경우 감속을 보여주는 실제 예를 제공 할 수 있습니다.

Bug Up-For-Grabs

출처

cristianstaicu

👍29 ❤10

가장 유용한 댓글

이 문제에 대한 수정이 신속하게 처리 될 수 있다는 점에 감사드립니다. nsp에 로그인되었으므로 빌드가 실패합니다.

davidnormo 에 2017년 11월 28일

👍23 😕3

모든 24 댓글

설명을 위해 matchWord 정규식, /src/lib/parse/regex.js 여기에 있습니다 .

다음은 정규식의 철도 다이어그램입니다 . 이것으로부터 우리는 반복이있는 그룹화가 아랍어 문자 구문 분석과 관련이 있음을 알 수 있습니다. 정규 표현식과 아랍어를 모두 이해하는 사람이이 문제를 해결할 수 있다면 도움이 될 것입니다.

ReDoS 개요 도 도움이됩니다.

mj1856 에 2017년 10월 19일

👍4

이건 아무도 이미 시작하지 않았어

hamiltondanielb 에 2017년 10월 20일

👍1

@hamiltondanielb 당신의 모든 것 :)

icambron 에 2017년 10월 20일

안녕하세요.
필요한 경우 감속을 보여주는 실제 예를 제공 할 수 있습니다.

가능한 경우 예제를보고 싶습니다. :)

drag0s 에 2017년 10월 24일

@ Drag0s 가 개인 이메일로 보냈습니다.

cristianstaicu 에 2017년 10월 24일

👍1

참고로, 이것은 NSP ( 여기 참조)에 추가되었으므로 곧 사람들의 빌드를 깨기 시작할 것입니다.

@hamiltondanielb-이걸 조사하는 곳이 있나요?

mattgrande 에 2017년 11월 27일

👍12

방금 빌드가 중단되었습니다 👯

jonsharratt 에 2017년 11월 27일

😕12

문제가 해결되기 전에 공개되어야해서 안타깝습니다. 9 월 8 일에 발행 된 문제, 오늘 NSP 권고가 게시되었습니다. @cristianstaicu 아마도 당신은 이것이 약간의 추진력을주기 위해 공개 기한에 대해 유지 관리자에게 상기

dskrvk 에 2017년 11월 27일

👍2

@mattgrande 에 대한 메타 성이 있습니다. 우리가 고정 된 nsp 버전 (2.8.1)은 순간 (joi를 통해)에 따라 달라 지므로 자체 종속성에 대한 취약점을보고했습니다.

1__bash

nsp 3.1.0으로 업그레이드하면 종속성이 더 이상 존재하지 않기 때문에이 문제가 해결되었습니다. 따라서 순간에 직접 의존하지 않는 경우주의해야합니다.

rupesh1 에 2017년 11월 27일

😄7

이것에 대한 수정이 아직 있습니까?

bit7 에 2017년 11월 27일

사용 가능한 수정 사항을 알려주십시오.

JoanYin 에 2017년 11월 27일

아직 수정 사항이 게시되지 않았습니다.

관리자로부터 업데이트를 받고 싶다면 오른쪽 열의 "구독"을 클릭하여이 문제에 대한 업데이트 알림을 구독하십시오.

fluxsauce 에 2017년 11월 27일

❤7

이에 대해 nsp 예외를 추가하려면 .nsprc 파일을 추가하십시오.

{
  "exceptions": [
     "https://nodesecurity.io/advisories/532"
  ]
}

westy92 에 2017년 11월 27일

👍15

감사합니다 @ westy92 ! 내 빌드를 저장했습니다.

jacob-go 에 2017년 11월 27일

👍2

@ westy92 및 @ jacob-go 안녕하세요. 다음 코드가 있습니다.
var tasksMethods = require ( 'gulpfile-ninecms');
gulp.task ( 'nsp', tasksMethods.nsp);
.nsprc 파일 예외를 선택하지 않습니다. 잠시 동안 나에게 취약성 오류를 계속 제공합니다.
프로젝트의 루트에 파일을 추가했습니다. 내가해야 할 일이 있습니까?

Dexterslab 에 2017년 11월 27일

@Dexterslab 우리는 gulp-nsp 하고 있는데, .nsprc 이 프로젝트 디렉토리에있을 때 잘 작동합니다 ( package.json 와 같은 수준). gulp-nsp 직접 사용해 보시겠습니까?

westy92 에 2017년 11월 27일

@cristianstaicu @mattgrande 룩슨 에서도 이런 일이 일어나고 있습니까?

nicosommi 에 2017년 11월 28일

이 문제에 대한 수정이 신속하게 처리 될 수 있다는 점에 감사드립니다. nsp에 로그인되었으므로 빌드가 실패합니다.

davidnormo 에 2017년 11월 28일

👍23 😕3

관리자에게이 대화를 잠그도록 제안 할 수 있습니까?
수정을 기다리는 모든 사람은 구독 버튼을 누르기 만하면 알림이 전송됩니다.

누구든지 수정을 수행하고 싶다면 PR을 열어 주시기 바랍니다.

flovilmart 에 2017년 11월 29일

👍5

이미 이것에 대한 PR이 있습니다 https://github.com/moment/moment/pull/4326

UziTech 에 2017년 11월 29일

🎉8

누군가가 nsp 에 패치가 적용되었음을 알려야합니까? https://nodesecurity.io/advisories/532

westy92 에 2017년 11월 29일

이 문제는 버전 2.19.3에서 수정되었습니다. 그에 따라 업데이트하십시오.

NSP에 알리는 방법을 모르겠습니다- @cristianstaicu 당신이나 다른 사람들이 여기서 도와 줄 수 있습니까?

marwahaha 에 2017년 11월 29일

👍2

[email protected]로 이메일을 보냈

안녕하세요,
현재 눈에 띄는 moment.js 취약점 (https://nodesecurity.io/advisories/532)이 최근 패치 되었으며 v.2.19.3에서 수정 사항이 릴리스 되었습니다.
권고에 대한 상태 업데이트를보고하는 프로세스는 무엇입니까? 이 이메일 주소는 제가 찾을 수있는 가장 좋은 방법입니다.
감사!

mdholloway 에 2017년 11월 29일

👍1

NSP DB를 2.19.3 수정 버전으로 업데이트해야한다는 답장을 받았습니다.

2.19.3이 더 이상 경고하지 않음을 확인했습니다.

mdholloway 에 2017년 11월 29일

🎉7

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Moment: 취약한 정규 표현식

가장 유용한 댓글

모든 24 댓글

관련 문제