์ค๋ ์ผ์ฐ hawk v7.0.7์ ๋ถ๋ชํ๋ ค๊ณ ํ์ง๋ง ํ ์คํธ๊ฐ ์คํจํ์ต๋๋ค. ๋ค๋ฅธ ์ผ์ ํ๊ธฐ ์ํด ๋ฐ์ด๋ด๋ ค์ผ ํ์ง๋ง ํ ์คํธ๋ฅผ ์คํํ๋ ๋ ๋น ๋ฅธ ๋ฐฉ๋ฒ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
npx taper tests/test-hawk.js
๋ด๊ฐ ์ดํดํ๋ ํ ๋ฌธ์ ๋ hoek < v5.0.3
๊ด๋ จ cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 ์
๋๋ค. request v2.85.1
์๋ hawk ~6.0.2
๊ฐ ํ์ํฉ๋๋ค. ์ฌ๊ธฐ์๋ hoek 4.x.x
๊ฐ ํ์ํฉ๋๋ค. request
๋ ๋
ธ๋ 4์์ ํธํ์ฑ์ ์ ์งํ๊ธฐ ์ํด hawk ~6.0.2
$๊ฐ ํ์ํฉ๋๋ค.
cve๋ "5.0.3 ์ด์ ์ _hoek ๋
ธ๋ ๋ชจ๋ hoek v5.0.3
โฆ
๊ทธ๋ฌ๋ hoek v4.2.1
์๋ ํด๋น ์์ ์ฌํญ์ด ์์ต๋๋ค.
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
๋ฐ๋ผ์ cve๋ hoek v4.2.1
๋ฅผ ์ทจ์ฝํ ๊ฒ์ผ๋ก ์๋ชป ๊ฐ์ฃผํ๊ณ ์์ผ๋ฉฐ ๋ง์ github ์ ์ฅ์๊ฐ ํ์ฌ ์ทจ์ฝ์ฑ์ ๋ณด๊ณ ํ๋ ์ด์ ์ผ ์ ์์ต๋๋ค. ๋ฌธ์ ์ ๋ํด nvd.nist.gov์ ์ด๋ฉ์ผ์ ๋ณด๋์ต๋๋ค.
์ฌ๊ธฐ๋ฅผ ์ฐธ์กฐํ์ญ์์ค: https://github.com/request/request/issues/2891#issuecomment -372271727
dan-nl์ ๊ฒฐ๊ณผ๋ฅผ ํ์ธํ๊ธฐ ์ํด securityfocus ์ CVE์ ํด์ปค๋ก ๋งํฌ ๋ชจ๋ ์์ ๋์์์ ๋ํ๋ ๋๋ค.
์ทจ์ฝํ์ง ์์:
| ํํฌ ํํฌ 4.2.1
| ํํฌ ํํฌ 5.0.3
vdeturckheim๋์ด ๋๊ธ์ ์์ฑํ์ต๋๋ค. 2์ 15์ผ (2๊ฐ์ ์ )
์์ ์ฌํญ์ ๋ชจ๋์ 4.x ํธ๋์ผ๋ก ๋ฐฑํฌํธ๋์์ผ๋ฉฐ 4.2.1๋ก ๊ฒ์๋์์ต๋๋ค. (https://github.com/hapijs/hoek/pull/231 ์ฐธ์กฐ)
https://github.com/hapijs/hoek/issues/230#issuecomment -366056246 ์์ @nlf๊ฐ ํ์ธํ์ต๋๋ค.
์์ ๋์์ต๋๋ค.
๋ ๋ ผ์ํ๊ธฐ ์ํด, (โฆ)
@warpdesign ๋น์ ์ด ๋งํ
์์ฒญ์ ํธํฌ ๋ฒ์ ~6.0.2์ ๋ฐ๋ผ ๋ค๋ฆ ๋๋ค. hawk ๋ฒ์ 7.0.0์ผ๋ก ์ ๋ฐ์ดํธํ๋ฉด ๋ฌธ์ ๊ฐ ํด๊ฒฐ๋ฉ๋๋ค.
๊ทธ๋ฌ๋ ์ข ์์ฑ์ผ๋ก ์ง์ ํธํฌ๊ฐ ์๋ ๊ฒฝ์ฐ ์ด๋ป๊ฒ ํด์ผ ํฉ๋๊น?
[email protected] /home/jfolpf/autocosts
โโโฌ [email protected]
โโโฌ [email protected]
โโโฌ [email protected]
โ โโโ [email protected] deduped
โโโฌ [email protected]
โ โโโฌ [email protected]
โ โโโ [email protected] deduped
โโโ [email protected]
โโโฌ [email protected]
โโโ [email protected] deduped
์ด๋ค npm ๋ช
๋ น? npm update request
์(๋) ์ผ์ ํ์ง ์์์ต๋๋ค. npm update hoek
๋ ์๋๋๋ค.
๊ฐ์ฌ ํด์
๋น์ ์ ํ ์ ์์ต๋๋ค. ์์ฒญ์ด Hawk 7์ ์ฌ์ฉํ๋ ์ ๋ฒ์ ์ ๊ฒ์ํ ๋๊น์ง ๊ธฐ๋ค๋ ค์ผ ํฉ๋๋ค. ๊ทธ๊ฒ ๋ฌธ์ ์ ๋๋ค.
ํ์ธํ ์ ์์ต๋๋ค. ์์ฒญ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ก ์ธํด ํํฌ ์ทจ์ฝ์ ์ด ์๋ github์ ์ํด ํ๋๊ทธ๊ฐ ์ง์ ๋ 6๊ฐ์ ์ ์ฅ์๊ฐ ์์ต๋๋ค.
@jfoclpf ์
๋ฐ์ดํธ๋ ๋ฒ์ ์ผ๋ก ํฌํฌ๋ฅผ ๊ฒ์ํ์ฌ ๋ฌธ์ ๋ฅผ ์์๋ก ์์ ํ ์ ์์ด์ผ ํ๋ค๊ณ ์๊ฐํฉ๋๋ค. ๊ทธ๋ฌ๋ ๋น์ ์ ์ด ๊ธธ์ ๊ฐ๊ณ ์ถ์ง ์์ต๋๋ค. ๊ณต์ ํด๊ฒฐ์ ๊ธฐ๋ค๋ฆฌ๋ ๊ฒ์ด ์ข์ต๋๋ค(์ด vce ์ํ๋ hoek v4.2.1
์ ๋ํด ์
๋ฐ์ดํธํด์ผ ํจ).
๋ค๋ฅธ ํจํค์ง์์ ๋ค์ ๋ฐ์ ๋ฐ๋ฅด๋ฉด github์์ ์คํ(false positive)์
๋๋ค. hoek
์ ํด๋น ๋ฒ์ ์๋ ์ทจ์ฝ์ ์ด ์์ต๋๋ค. ๊ทธ๋ผ์๋ ๋ถ๊ตฌํ๊ณ ์ฑ๊ฐ์ ์ผ์ด๋ฏ๋ก request
์ ๊ณต์ ์
๋ฐ์ดํธ๋ฅผ ๊ธฐ๋ค๋ฆฌ์.
Node.js 4.x ๋ฆด๋ฆฌ์ค ๋ผ์ธ์ 4์ 30์ผ์ ์ข ๋ฃ๋ฉ๋๋ค. ๊ทธ ์ดํ๋ก๋ ํธํ์ฑ์ ๋ํด ๊ฑฑ์ ํ ํ์๊ฐ ์์ต๋๋ค.
๋ค, ์๋ ํ์ธ์ :wave: ํ ์ ์ง ๊ด๋ฆฌ์์ ๋๋ค. ๋ฒ์ 4.2.1 ์ด ํจ์น๋์์ต๋๋ค . github์ ๊ฒฝ๊ณ ๊ฐ ํ์ฌ ์๋ชป๋์์ต๋๋ค. ๋๋ CVE์ ๋ฒ์ ๋ฒ์๋ฅผ ์์ ํด ๋ฌ๋ผ๋ ์์ฒญ์ ์ ์ถํ๊ณ ๋ํ github์ ์ผ๋ถ ์น์ ํ ์ฌ๋๋ค์ ๊ดด๋กญํ์ต๋๋ค. _ํฌ๋ง์ ์ผ๋ก_ ๊ทธ๋ค์ ํด๋น ๋ฒ์ ์ ์ทจ์ฝํ ๊ฒ์ผ๋ก ๋ณด๊ณ ํ๋ ๊ฒ์ ๊ณง ์ค๋จํ ๊ฒ์ ๋๋ค.
https://github.com/request/request/issues/2926#issuecomment -385087487
๋ฒ์ 4.2.1์ด ํจ์น๋์์ต๋๋ค
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
CVE ์ ๋ฐ์ดํธ ์์ฒญ์ ์ ์ถํ์ต๋๋ค. ๊ณง ์ ๋ฐ์ดํธ๋ ์์ ์ด๋ฉฐ GitHub์์ db๋ฅผ ์ ๋ฐ์ดํธํ ์ ์๊ธฐ๋ฅผ ๋ฐ๋๋๋ค. ๊ทธ ์ผ์ด ์ผ์ด๋๊ธฐ ์ ๊น์ง๋ ์ด ๋ชจ๋ ๊ฒ์ด ๋ด ์์์ ๋ฒ์ด๋ฌ์ต๋๋ค. ๋ค๋ฅธ ์ฌ๋๋ค์ด ์ฐพ์ ์ ์๊ธฐ๋ฅผ ๋ฐ๋ผ๋ ๋ง์์ผ๋ก ์ด ๊ธ์ ๋จ๊ฒจ๋ก๋๋ค.
!?
@dscalzi ,
hawk > v7.0.0
๋
ธ๋ 4 ๋ฐ 6์ ๋ํ ์ง์ ์ค๋จ
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0
์๋ hoek 5.x.x
๊ฐ ํฌํจ๋ฉ๋๋ค.
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x
๋
ธ๋ 4 ๋ฐ 6์ ๋ํ ์ง์ ์ค๋จ
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
์ด ๋ฌธ์ ๋ ํ์ฌ ์ด๋ป๊ฒ ์งํ๋๊ณ ์์ต๋๊น?
@diamont1001 ์ด๋ฏธ ๊ณ ์ณค์ต๋๋ค
@Bjornskjald ํ์คํฉ๋๊น?
[email protected]/1 -> [email protected] -> [email protected]
@diamont1001 hoek 4.2.1์ ๋ฒ๊ทธ ์์ ์ด ๋ฐฑํฌํธ๋์์ต๋๋ค.
@Bjornskjald
@diamont1001 ์ ์ฒด ํ ๋ก ์ ์ฝ์ ๋งํผ ๊ฒ์ผ๋ฅด์ง ์์๋ค๋ฉด GitHub์ ๋ฒ๊ทธ์ด๋ฉฐ ํ ์ ์ง ๊ด๋ฆฌ์๊ฐ ์ด๋ฏธ ์ฐ๋ฝํ์์ ์ ์ ์๊ธฐ ๋๋ฌธ์ ๋๋ค...
@nlf ์ด ์ค๋ ๋๋ฅผ ๋ ์ผ์ฐ ์ ๋ฐ์ดํธํด์ฃผ์ ์ ๊ฐ์ฌํฉ๋๋ค! ์์ง Github์์ ์๋ต์ด ์์ต๋๊น? ํ๋ ํด๋ณผ ์๊ฐ์ธ๋ฐ...
์ํฉ ์ ๋ฐ์ดํธ?
์ํฉ ์ ๋ฐ์ดํธ?
@GitHub ์ง์์ @phillmv ๊ฐ https://github.com/hapijs/hoek/issues/247#issuecomment -386708295์ ์ค๋ช ์ ๊ฒ์ํ์ต๋๋ค.
[...] ์ฐ๋ฆฌ๋ ์์์ผ์ ๊ฒฝ๊ณ ํ๋ ๋ฒ์ ์ ์์ ํ์ผ๋ฉฐ ์ค๋ ์ผ์ฐ ๋ชจ๋ ๋์ ๊ฒฝ๊ณ ๋ฅผ ๊ฐ์ธ์ ์ผ๋ก ์ญ์ ํ์ต๋๋ค. [...]
์๋
ํ์ธ์, ๋ชจ๋ ํ ๋ก ์ ์ฝ์์ง๋ง ์ฌ์ ํ ๋ฌธ์ ๊ฐ ์์ต๋๋ค.
npm ๊ฐ์ฌ๋ฅผ ์คํํ๊ณ ํ
ํจํค์ง์ ๋ํ 11๊ฐ์ง ์ทจ์ฝ์ ์ ๋ณด๊ณ ํ์ต๋๋ค.
7.0.7๋ก ์
๋ฐ์ดํธํ์ง๋ง ์๋ฌด ๊ฒ๋ ๋ณ๊ฒฝ๋์ง ์์์ต๋๋ค. ๋๋ ๋ํ ์์์ ์ ์ํ ๋๋ก ํธํฌ ํจํค์ง๋ฅผ ์
๋ฐ์ดํธํ์ง๋ง ์ฌ์ ํ ์๋ฌด๊ฒ๋ ๋ณ๊ฒฝ๋์ง ์์์ต๋๋ค.
๋์ ์ค์์์ผ์ธ์?
@NadGu plz๋ ๋จผ์ package-lock.json ํ์ผ์ ํ์ธํ์ญ์์ค.
@diamont1001 ์ง๊ธ ์๋ฃํ์ต๋๋ค. ํ ์ ๋ฒ์ ์ 4.2.1์ ๋๋ค. ์ ๋ฐ์ดํธํ๋ ค๋ฉด ์ด๋ป๊ฒ ํด์ผ ํฉ๋๊น?
[email protected] ๊ด์ฐฎ์ต๋๋ค.
๋๋ github์ด ๋ฐ์ดํฐ๋ฅผ ์๋ก ๊ณ ์น ๋๊น์ง ๊ธฐ๋ค๋ ค์ผํ๋ค๊ณ ์๊ฐํฉ๋๋ค. ์ ์ด๋ ๊ทธ ๋น์์๋ ๊ทธ๋ ๊ฒํ๊ณ ํจ๊ณผ๊ฐ์์์ต๋๋ค.
@diamont1001 ๊ทธ๋ผ ๊ธฐ๋ค๋ ค์! ์ ์ด๋ ๋๋ ๋ด๊ฐ ํ ์ ์๋ ๋ชจ๋ ๊ฒ์ ํ๋ค. ๊ฐ์ฌํฉ๋๋ค!
@nadgu ์๋ ํ์ธ์!
GitHub์ 4.2.1 ๋ฒ์ ์ด ์ทจ์ฝํ ๊ฒ์ผ๋ก ํ์๋๋ ์ ์ฅ์๊ฐ ์๋ค๋ ๋ง์์ด์ ๊ฐ์? ๊ทธ๋ฐ ์ผ์ด ์ผ์ด๋์๋ ์๋ฉ๋๋ค!
์ ์ฅ์ ๋งํฌ์ ํจ๊ป [email protected]์ผ๋ก ์ด๋ฉ์ผ์ ๋ณด๋ด๊ณ @phillmv ๋ฅผ ์ธ๊ธํ๋ฉด โโ๊ฑฐ๊ธฐ์์ ๊ฐ์ ธ์ค๊ฒ ์ต๋๋ค. :)
์ด ๋ฌธ์ ๋ ์ต๊ทผ ํ๋์ด ์์๊ธฐ ๋๋ฌธ์ ์๋์ผ๋ก ์ค๋๋ ๊ฒ์ผ๋ก ํ์๋์์ต๋๋ค. ๋ ์ด์ ํ๋์ด ์์ผ๋ฉด ํ์๋ฉ๋๋ค. ๊ทํ์ ๊ธฐ์ฌ์ ๊ฐ์ฌ๋๋ฆฝ๋๋ค.
๊ฐ์ฅ ์ ์ฉํ ๋๊ธ
๋ค, ์๋ ํ์ธ์ :wave: ํ ์ ์ง ๊ด๋ฆฌ์์ ๋๋ค. ๋ฒ์ 4.2.1 ์ด ํจ์น๋์์ต๋๋ค . github์ ๊ฒฝ๊ณ ๊ฐ ํ์ฌ ์๋ชป๋์์ต๋๋ค. ๋๋ CVE์ ๋ฒ์ ๋ฒ์๋ฅผ ์์ ํด ๋ฌ๋ผ๋ ์์ฒญ์ ์ ์ถํ๊ณ ๋ํ github์ ์ผ๋ถ ์น์ ํ ์ฌ๋๋ค์ ๊ดด๋กญํ์ต๋๋ค. _ํฌ๋ง์ ์ผ๋ก_ ๊ทธ๋ค์ ํด๋น ๋ฒ์ ์ ์ทจ์ฝํ ๊ฒ์ผ๋ก ๋ณด๊ณ ํ๋ ๊ฒ์ ๊ณง ์ค๋จํ ๊ฒ์ ๋๋ค.