Request: 훅 패키지의 취약점

오늘 일찍 hawk v7.0.7에 부딪히려고 했지만 테스트가 실패했습니다. 다른 일을 하기 위해 뛰어내려야 했지만 테스트를 실행하는 더 빠른 방법은 다음과 같습니다.

npx taper tests/test-hawk.js

내가 이해하는 한 문제는 hoek < v5.0.3 관련 cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 입니다. request v2.85.1 에는 hawk ~6.0.2 가 필요합니다. 여기에는 hoek 4.x.x 가 필요합니다. request 는 노드 4와의 호환성을 유지하기 위해 hawk ~6.0.2 $가 필요합니다.

• cve는 "5.0.3 이전의 _hoek 노드 모듈 hoek v5.0.3 …

• 그러나 hoek v4.2.1 에도 해당 수정 사항이 있습니다.
  https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
  https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116

따라서 cve는 hoek v4.2.1 를 취약한 것으로 잘못 간주하고 있으며 많은 github 저장소가 현재 취약성을 보고하는 이유일 수 있습니다. 문제에 대해 nvd.nist.gov에 이메일을 보냈습니다.

여기를 참조하십시오: https://github.com/request/request/issues/2891#issuecomment -372271727

dan-nl의 결과를 확인하기 위해 securityfocus 와 CVE의 해커론 링크 모두 수정되었음을 나타냅니다.

취약하지 않음:
| 후크 후크 4.2.1
| 후크 후크 5.0.3

vdeturckheim님이 댓글을 작성했습니다. 2월 15일 (2개월 전)
수정 사항은 모듈의 4.x 트랙으로 백포트되었으며 4.2.1로 게시되었습니다. (https://github.com/hapijs/hoek/pull/231 참조)

https://github.com/hapijs/hoek/issues/230#issuecomment -366056246 에서 @nlf가 확인했습니다.

수정되었습니다.
더 논의하기 위해, (…)

@warpdesign 당신이 말한

요청은 호크 버전 ~6.0.2에 따라 다릅니다. hawk 버전 7.0.0으로 업데이트하면 문제가 해결됩니다.

그러나 종속성으로 직접 호크가 없는 경우 어떻게 해야 합니까?

[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
  └─┬ [email protected]
    ├─┬ [email protected]
    │ └── [email protected]  deduped
    ├─┬ [email protected]
    │ └─┬ [email protected]
    │   └── [email protected]  deduped
    ├── [email protected] 
    └─┬ [email protected]
      └── [email protected]  deduped

어떤 npm 명령? npm update request 은(는) 일을 하지 않았습니다. npm update hoek 도 아닙니다.
감사 해요

당신은 할 수 없습니다. 요청이 Hawk 7을 사용하는 새 버전을 게시할 때까지 기다려야 합니다. 그게 문제입니다.

확인할 수 있습니다. 요청 라이브러리로 인해 후크 취약점이 있는 github에 의해 플래그가 지정된 6개의 저장소가 있습니다.

@jfoclpf 업데이트된 버전으로 포크를 게시하여 문제를 임시로 수정할 수 있어야 한다고 생각합니다. 그러나 당신은 이 길을 가고 싶지 않습니다. 공식 해결을 기다리는 것이 좋습니다(이 vce 상태는 hoek v4.2.1 에 대해 업데이트해야 함).

다른 패키지에서 들은 바에 따르면 github에서 오탐(false positive)입니다. hoek 의 해당 버전에는 취약점이 없습니다. 그럼에도 불구하고 성가신 일이므로 request 의 공식 업데이트를 기다리자.

Node.js 4.x 릴리스 라인은 4월 30일에 종료됩니다. 그 이후로는 호환성에 대해 걱정할 필요가 없습니다.

네, 안녕하세요 :wave: 훅 유지 관리자입니다. 버전 4.2.1 이 패치되었습니다 . github의 경고가 현재 잘못되었습니다. 나는 CVE의 버전 범위를 수정해 달라는 요청을 제출했고 또한 github의 일부 친절한 사람들을 괴롭혔습니다. _희망적으로_ 그들은 해당 버전을 취약한 것으로 보고하는 것을 곧 중단할 것입니다.

https://github.com/request/request/issues/2926#issuecomment -385087487
버전 4.2.1이 패치되었습니다

https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
CVE 업데이트 요청을 제출했습니다. 곧 업데이트될 예정이며 GitHub에서 db를 업데이트할 수 있기를 바랍니다. 그 일이 일어나기 전까지는 이 모든 것이 내 손에서 벗어났습니다. 다른 사람들이 찾을 수 있기를 바라는 마음으로 이 글을 남겨둡니다.

!?

@dscalzi ,

hawk > v7.0.0 노드 4 및 6에 대한 지원 중단
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml

hawk >= v7.0.0 에는 hoek 5.x.x 가 포함됩니다.
https://github.com/hueniverse/hawk/blob/master/package.json#L19

hoek v5.x.x 노드 4 및 6에 대한 지원 중단
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml

이 문제는 현재 어떻게 진행되고 있습니까?

@diamont1001 이미 고쳤습니다

@Bjornskjald 확실합니까?

[email protected]/1 -> [email protected] -> [email protected]

@diamont1001 hoek 4.2.1에 버그 수정이 백포트되었습니다.

@Bjornskjald

@diamont1001 전체 토론을 읽을 만큼 게으르지 않았다면 GitHub의 버그이며 훅 유지 관리자가 이미 연락했음을 알 수 있기 때문입니다...

@nlf 이 스레드를 더 일찍 업데이트해주셔서 감사합니다! 아직 Github에서 응답이 없습니까? 핑도 해볼 생각인데...

상황 업데이트?

상황 업데이트?

@GitHub 직원의 @phillmv 가 https://github.com/hapijs/hoek/issues/247#issuecomment -386708295에 설명을 게시했습니다.

[...] 우리는 월요일에 경고하는 버전을 수정했으며 오늘 일찍 모든 나쁜 경고를 개인적으로 삭제했습니다. [...]

안녕하세요, 모든 토론을 읽었지만 여전히 문제가 있습니다.
npm 감사를 실행하고 훅 패키지에 대한 11가지 취약점을 보고했습니다.
7.0.7로 업데이트했지만 아무 것도 변경되지 않았습니다. 나는 또한 위에서 제안한 대로 호크 패키지를 업데이트했지만 여전히 아무것도 변경되지 않았습니다.
도와 줄수있으세요?

@NadGu plz는 먼저 package-lock.json 파일을 확인하십시오.

@diamont1001 지금 완료했습니다. 훅의 버전은 4.2.1입니다. 업데이트하려면 어떻게 해야 합니까?

[email protected] 괜찮습니다.
나는 github이 데이터를 새로 고칠 때까지 기다려야한다고 생각합니다. 적어도 그 당시에는 그렇게했고 효과가있었습니다.

@diamont1001 그럼 기다려요! 적어도 나는 내가 할 수 있는 모든 것을 했다. 감사합니다!

@nadgu 안녕하세요!

GitHub에 4.2.1 버전이 취약한 것으로 표시되는 저장소가 있다는 말씀이신가요? 그런 일이 일어나서는 안됩니다!

저장소 링크와 함께 [email protected]으로 이메일을 보내고 @phillmv 를 언급하면 ​​거기에서 가져오겠습니다. :)

이 문제는 최근 활동이 없었기 때문에 자동으로 오래된 것으로 표시되었습니다. 더 이상 활동이 없으면 폐쇄됩니다. 귀하의 기여에 감사드립니다.