Request: Vulnerabilidade no pacote hoek
Há uma vulnerabilidade no pacote hoek que é exigida por hawk da qual a solicitação depende.
A solicitação depende da versão do hawk ~6.0.2 . A atualização para a versão hawk 7.0.0 resolveria o problema.
warpdesign
Todos 29 comentários
Eu tentei apenas bater no hawk v7.0.7 hoje cedo, mas o teste falhou. Eu tive que pular para fazer outra coisa, mas só consegui essa maneira mais rápida de executar o teste:
npx taper tests/test-hawk.js
crccheck
em 27 abr. 2018
pelo que entendi, o problema é com um cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , referente hoek < v5.0.3 ; request v2.85.1 requer hawk ~6.0.2 , que requer hoek 4.x.x . request requer hawk ~6.0.2 para manter a compatibilidade com o nó 4.
o cve afirma que “_hoek node module antes de 5.0.3 sofre de …_” e faz referência a https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee como uma correção em
hoek v5.0.3no entanto,
hoek v4.2.1também tem essa correção:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
assim, parece que o cve está incorretamente considerando hoek v4.2.1 como vulnerável e pode ser por isso que tantos repositórios do github estão agora relatando uma vulnerabilidade. enviei um e-mail para nvd.nist.gov sobre o problema.
dan-nl
em 27 abr. 2018
Veja aqui: https://github.com/request/request/issues/2891#issuecomment -372271727
ptrcnull
em 27 abr. 2018
Para confirmar as descobertas do dan-nl, ambos os links do securityfocus e do hackerone no CVE afirmam que ele foi corrigido
Não vulnerável:
| Hoek Hoek 4.2.1
| Hoek Hoek 5.0.3
vdeturckheim postou um comentário. 15 de fevereiro (2 meses atrás)
A correção foi retroportada para a trilha 4.x do módulo e publicada como 4.2.1. (veja https://github.com/hapijs/hoek/pull/231 )
e é confirmado por @nlf em https://github.com/hapijs/hoek/issues/230#issuecomment -366056246
Foi corrigido.
Para discutir mais, (…)
PhilippeVay
em 27 abr. 2018
@warpdesign você disse
A solicitação depende da versão hawk ~6.0.2. A atualização para o hawk versão 7.0.0 resolveria o problema
Mas como faço isso se não tenho hawk diretamente como dependência?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
qual comando npm? npm update request não funcionou. Nem npm update hoek
obrigado
jfoclpf
em 27 abr. 2018
Você não pode. Você tem que esperar até que Request publique uma nova versão que use Hawk 7. Esse é o problema.
jbreckmckye
em 27 abr. 2018
Posso confirmar, eu tive 6 repositórios sinalizados pelo github por ter a vulnerabilidade hoek por causa da biblioteca de solicitação.
johnbeech
em 27 abr. 2018
@jfoclpf Acho que deve ser possível corrigir temporariamente o problema publicando bifurcações com uma versão atualizada. Mas você não quer ir por esse caminho. Melhor esperar por uma resolução oficial (que não deve demorar muito, pois o estado do vce só precisa ser atualizado por hoek v4.2.1 ).
warpdesign
em 27 abr. 2018
De acordo com o que me disseram de outros pacotes, é um falso positivo do github. Não há vulnerabilidade nessa versão de hoek . No entanto, é irritante e, portanto, vamos aguardar uma atualização oficial de request .
jfoclpf
em 27 abr. 2018
A linha de lançamento do Node.js 4.x terminará em 30 de abril, a compatibilidade com ela não deve ser uma preocupação depois disso.
dscalzi
em 27 abr. 2018
sim, oi :wave: mantenedor do hoek aqui. a versão 4.2.1 foi corrigida . os alertas do github estão errados no momento. Enviei uma solicitação para corrigir o intervalo de versão no CVE e também assediei algumas pessoas gentis no github para cuidar das coisas do lado deles. _espero_ eles vão parar de relatar essa versão como vulnerável em breve.
nlf
em 27 abr. 2018
https://github.com/request/request/issues/2926#issuecomment -385087487
a versão 4.2.1 foi corrigida
https://github.com/hapijs/hoek/issues/247#issuecomment -385012074
Enviei uma solicitação para atualizar o CVE, espero que isso aconteça em breve e o GitHub possa atualizar seu banco de dados. Até que isso aconteça, está tudo fora das minhas mãos. Estou deixando isso em aberto na esperança de que outras pessoas o encontrem.
!?
yumetodo
em 28 abr. 2018
@dscalzi ,
hawk > v7.0.0 descarta o suporte para os nós 4 e 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0 inclui hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x descarta o suporte para os nós 4 e 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
dan-nl
em 29 abr. 2018
Como está essa questão agora plz?
diamont1001
em 2 mai. 2018
@diamont1001 já está corrigido
ptrcnull
em 2 mai. 2018
@Bjornskjald você tem certeza?
[email protected]/1 -> [email protected] -> [email protected]
diamont1001
em 2 mai. 2018
@diamont1001 hoek 4.2.1 tem a correção de bugs retroportada
ptrcnull
em 2 mai. 2018
@Bjornskjald
diamont1001
em 2 mai. 2018
@diamont1001 porque se você não fosse preguiçoso o suficiente para ler toda a discussão, veria que é um bug com o GitHub e o mantenedor do hoek já os contatou ...
ptrcnull
em 2 mai. 2018
@nlf Obrigado por atualizar este tópico mais cedo! Alguma resposta do Github ainda? Estou pensando em dar um ping neles também...
JessicaSachs
em 3 mai. 2018
atualização de status?
debragail
em 4 mai. 2018
atualização de status?
@phillmv da equipe do @GitHub postou uma explicação em https://github.com/hapijs/hoek/issues/247#issuecomment -386708295:
[...] Corrigimos as versões sobre as quais alertamos na segunda-feira e, pessoalmente, excluí todos os alertas ruins hoje cedo. [...]
cmfcmf
em 4 mai. 2018
Olá, eu li toda a discussão, mas ainda estou com o problema.
Eu executei a auditoria do npm e me relatei sobre 11 vulnerabilidades no pacote hoek.
Eu atualizei para 7.0.7, mas nada mudou. Eu também atualizei o pacote hawk como sugerido acima, mas ainda nada mudou.
Você pode me ajudar por favor?
ghost
em 24 mai. 2018
@NadGu plz verifique seu arquivo package-lock.json primeiro.
diamont1001
em 24 mai. 2018
@diamont1001 feito agora. A versão do hoek é 4.2.1. O que posso fazer para atualizá-lo?
ghost
em 24 mai. 2018
[email protected] está ok.
Eu acho que você só tem que esperar o github atualizar os dados, pelo menos eu fiz isso na época, e funcionou.
diamont1001
em 24 mai. 2018
@diamont1001 Então vamos esperar! Pelo menos fiz tudo o que pude. Obrigado!
ghost
em 24 mai. 2018
@nadgu Olá!
Você está dizendo que tem um repositório no GitHub onde ainda estamos sinalizando uma versão do 4.2.1 como vulnerável? Isso não deveria estar acontecendo!
Por favor, envie um email para [email protected] com o link do repositório e mencione @phillmv e nós continuaremos a partir daí :).
phillmv
em 24 mai. 2018
Este problema foi marcado automaticamente como obsoleto porque não teve atividade recente. Será fechado se não ocorrer mais nenhuma atividade. Obrigado por suas contribuições.
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
em 24 mai. 2019
Questões relacionadas
ORESoftware
·
4Comentários
Guymestef
·
3Comentários
crostine
·
3Comentários
ghost
·
3Comentários
pixarfilmz112
·
3Comentários
Comentários muito úteis
sim, oi :wave: mantenedor do hoek aqui. a versão 4.2.1 foi corrigida . os alertas do github estão errados no momento. Enviei uma solicitação para corrigir o intervalo de versão no CVE e também assediei algumas pessoas gentis no github para cuidar das coisas do lado deles. _espero_ eles vão parar de relatar essa versão como vulnerável em breve.