В пакете hoek
есть уязвимость , необходимая для hawk
, от которого зависит запрос.
Запрос зависит от версии ястреба ~6.0.2
. Обновление до версии hawk 7.0.0
решит проблему.
Сегодня я пытался просто натыкаться на hawk v7.0.7, но тест не прошел. Мне пришлось спрыгнуть, чтобы сделать что-то еще, но я дошел только до этого более быстрого способа запустить тест:
npx taper tests/test-hawk.js
насколько я понимаю, проблема связана с cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , относительно hoek < v5.0.3
; Для request v2.85.1
требуется hawk ~6.0.2
, для которого требуется hoek 4.x.x
. request
требует hawk ~6.0.2
для обеспечения совместимости с узлом 4.
в cve говорится, что «модуль узла _hoek до версии 5.0.3 страдает от …_», и ссылается на https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee в качестве исправления в hoek v5.0.3
однако hoek v4.2.1
также имеет это исправление:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
таким образом, похоже, что cve неправильно считает hoek v4.2.1
уязвимым, и, возможно, поэтому так много репозиториев github теперь сообщают об уязвимости. Я отправил электронное письмо на nvd.nist.gov по поводу этой проблемы.
См. здесь: https://github.com/request/request/issues/2891#issuecomment -372271727
Чтобы подтвердить выводы dan-nl, по обеим ссылкам от securityfocus и hackerone в CVE указано, что это было исправлено.
Неуязвимый:
| Хук Хук 4.2.1
| Хук Хук 5.0.3
vdeturckheim оставил комментарий. 15 февраля (2 месяца назад)
Исправление было перенесено в версию 4.x модуля и опубликовано как 4.2.1. (см. https://github.com/hapijs/hoek/pull/231)
и это подтверждено @nlf в https://github.com/hapijs/hoek/issues/230#issuecomment -366056246.
Это было исправлено.
Для дальнейшего обсуждения (…)
@warpdesign , ты сказал
Запрос зависит от версии hawk ~6.0.2. Обновление до версии hawk 7.0.0 решит проблему.
Но как мне это сделать, если я не использую ястреб напрямую как зависимость?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
какая команда нпм? npm update request
не справился со своей задачей. Ни npm update hoek
Спасибо
Вы не можете. Вам нужно дождаться, пока Request опубликует новую версию, использующую Hawk 7. В этом проблема.
Могу подтвердить, у меня было 6 репозиториев, помеченных github за наличие уязвимости hoek из-за библиотеки запросов.
@jfoclpf Думаю, можно временно решить проблему, опубликовав вилки с обновленной версией. Но ты не хочешь идти по этому пути. Лучше дождитесь официального решения (которое не заставит себя долго ждать, так как состояние vce просто нужно обновить на hoek v4.2.1
).
Согласно тому, что мне сказали из других пакетов, это ложное срабатывание от github. В этой версии hoek
нет уязвимости. Тем не менее, это раздражает, поэтому давайте дождемся официального обновления request
.
Линейка релизов Node.js 4.x прекратит свое существование 30 апреля, после этого совместимость с ней не должна вызывать беспокойства.
да, привет :wave: хук сопровождающий здесь. версия 4.2.1 исправлена . оповещения github в настоящее время неверны. Я отправил запрос на исправление диапазона версий в CVE, а также приставал к некоторым добрым людям на github, чтобы они позаботились обо всем на их стороне. _надеюсь_ скоро они перестанут сообщать об этой версии как об уязвимости.
https://github.com/request/request/issues/2926#issuecomment-385087487
версия 4.2.1 исправлена
https://github.com/hapijs/hoek/issues/247#issuecomment-385012074
Я отправил запрос на обновление CVE, надеюсь, это произойдет в ближайшее время, и GitHub сможет обновить свою базу данных. Пока этого не произойдет, все это не в моих руках. Я оставляю это открытым в надежде, что другие люди найдут его.
!?
@dscalzi ,
hawk > v7.0.0
прекращает поддержку узлов 4 и 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0
включает hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x
прекращает поддержку узлов 4 и 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
Как сейчас обстоят дела с этим вопросом, плз?
@diamont1001 это уже исправлено
@Bjornskjald ты уверен?
[email protected]/1 -> [email protected] -> [email protected]
@diamont1001 hoek 4.2.1 имеет обратное портирование исправления
@Бьорнскьяльд
@ diamont1001 diamont1001 , потому что, если бы вы не были достаточно ленивы, чтобы прочитать все обсуждение, вы бы увидели, что это ошибка с GitHub, и мейнтейнер hoek уже связался с ними ...
@nlf Спасибо за обновление этой темы ранее! Есть ли ответ от Github? Я тоже подумываю пропинговать их...
обновление статуса?
обновление статуса?
@phillmv из персонала @GitHub опубликовал объяснение по адресу https://github.com/hapijs/hoek/issues/247#issuecomment -386708295:
[...] Мы исправили версии, о которых мы предупреждаем, еще в понедельник, и сегодня я лично удалил все плохие оповещения. [...]
Привет, я прочитал все обсуждение, но у меня все еще есть проблема.
Я провел аудит npm и сообщил мне об 11 уязвимостях в пакете hoek.
Я обновил его до 7.0.7, но ничего не изменилось. Я также обновил пакет hawk, как было предложено выше, но ничего не изменилось.
Не могли бы вы мне помочь?
@NadGu , пожалуйста, сначала проверьте файл package-lock.json.
@diamont1001 сделано прямо сейчас. Версия хука 4.2.1. Что я могу сделать, чтобы обновить его?
[email protected] в порядке.
Я думаю, вам просто нужно подождать, пока github обновит данные, по крайней мере, я сделал это в то время, и это сработало.
@diamont1001 Так что подождем! По крайней мере, я сделал все, что мог. Спасибо!
@nadgu Привет!
Вы хотите сказать, что у вас есть репозиторий на GitHub, где мы по-прежнему помечаем версию 4.2.1 как уязвимую? Этого не должно быть!
Пожалуйста, напишите [email protected] со ссылкой на репозиторий и упомяните @phillmv , и мы возьмем его оттуда :).
Эта проблема была автоматически помечена как устаревшая, поскольку в последнее время в ней не было активности. Он будет закрыт, если никакой дальнейшей активности не произойдет. Спасибо за ваш вклад.
Самый полезный комментарий
да, привет :wave: хук сопровождающий здесь. версия 4.2.1 исправлена . оповещения github в настоящее время неверны. Я отправил запрос на исправление диапазона версий в CVE, а также приставал к некоторым добрым людям на github, чтобы они позаботились обо всем на их стороне. _надеюсь_ скоро они перестанут сообщать об этой версии как об уязвимости.