Async: В lodash обнаружена уязвимость средней степени серьезности

Созданный на 4 февр. 2019 · 4Комментарии · Источник: caolan/async

snyk сообщает об уязвимости отказа в обслуживании регулярных выражений в одной из ваших зависимостей, lodash 4.17.5 .

✗ Medium severity vulnerability found in lodash
  Description: Regular Expression Denial of Service (ReDoS)
  Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
  Introduced through: [email protected]
  From: [email protected] > [email protected]
  Remediation:
    Your dependencies are out of date, otherwise you would be using a newer version of lodash. 
    Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.

Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.

? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1

Заранее спасибо!

Источник

dep

👍2

Самый полезный комментарий

Обновление lodash не составило труда, я опубликовал v2.6.2 с обновлением.

aearly 12 февр. 2019

👍2 🎉1

Все 4 Комментарий

Удар

dscalzi 8 февр. 2019

Мы не используем этот метод, поэтому он не применим к нам. Мы удалили lodash в
v3.0. Я думаю, у нас были некоторые проблемы с переходом от этого второстепенного
версия lodash на линии 2.x Async.

В пятницу, 8 февраля 2019 г., 2:12 Даниэль Скальци < [email protected] написал:

Удар
—
Вы получаете это, потому что подписаны на эту тему.
Ответьте на это письмо напрямую, просмотрите его на GitHub
https://github.com/caolan/async/issues/1620#issuecomment-461784127 или отключить звук
нить
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.

aearly 9 февр. 2019

👍1

Я думаю, что простое обновление патча поможет.