Request: Уязвимость в пакете hoek
В пакете hoek есть уязвимость , необходимая для hawk , от которого зависит запрос.
Запрос зависит от версии ястреба ~6.0.2 . Обновление до версии hawk 7.0.0 решит проблему.
warpdesign
Все 29 Комментарий
Сегодня я пытался просто натыкаться на hawk v7.0.7, но тест не прошел. Мне пришлось спрыгнуть, чтобы сделать что-то еще, но я дошел только до этого более быстрого способа запустить тест:
npx taper tests/test-hawk.js
crccheck
27 апр. 2018
насколько я понимаю, проблема связана с cve, https://nvd.nist.gov/vuln/detail/CVE-2018-3728 , относительно hoek < v5.0.3 ; Для request v2.85.1 требуется hawk ~6.0.2 , для которого требуется hoek 4.x.x . request требует hawk ~6.0.2 для обеспечения совместимости с узлом 4.
в cve говорится, что «модуль узла _hoek до версии 5.0.3 страдает от …_», и ссылается на https://github.com/hapijs/hoek/commit/32ed5c9413321fbc37da5ca81a7cbab693786dee в качестве исправления в
hoek v5.0.3однако
hoek v4.2.1также имеет это исправление:
https://github.com/hapijs/hoek/commit/5aed1a8c4a3d55722d1c799f2368857bf418d6df
https://github.com/hapijs/hoek/blob/v4.2.1/lib/index.js#L116
таким образом, похоже, что cve неправильно считает hoek v4.2.1 уязвимым, и, возможно, поэтому так много репозиториев github теперь сообщают об уязвимости. Я отправил электронное письмо на nvd.nist.gov по поводу этой проблемы.
dan-nl
27 апр. 2018
См. здесь: https://github.com/request/request/issues/2891#issuecomment -372271727
ptrcnull
27 апр. 2018
Чтобы подтвердить выводы dan-nl, по обеим ссылкам от securityfocus и hackerone в CVE указано, что это было исправлено.
Неуязвимый:
| Хук Хук 4.2.1
| Хук Хук 5.0.3
vdeturckheim оставил комментарий. 15 февраля (2 месяца назад)
Исправление было перенесено в версию 4.x модуля и опубликовано как 4.2.1. (см. https://github.com/hapijs/hoek/pull/231)
и это подтверждено @nlf в https://github.com/hapijs/hoek/issues/230#issuecomment -366056246.
Это было исправлено.
Для дальнейшего обсуждения (…)
PhilippeVay
27 апр. 2018
@warpdesign , ты сказал
Запрос зависит от версии hawk ~6.0.2. Обновление до версии hawk 7.0.0 решит проблему.
Но как мне это сделать, если я не использую ястреб напрямую как зависимость?
[email protected] /home/jfolpf/autocosts
└─┬ [email protected]
└─┬ [email protected]
├─┬ [email protected]
│ └── [email protected] deduped
├─┬ [email protected]
│ └─┬ [email protected]
│ └── [email protected] deduped
├── [email protected]
└─┬ [email protected]
└── [email protected] deduped
какая команда нпм? npm update request не справился со своей задачей. Ни npm update hoek
Спасибо
jfoclpf
27 апр. 2018
Вы не можете. Вам нужно дождаться, пока Request опубликует новую версию, использующую Hawk 7. В этом проблема.
jbreckmckye
27 апр. 2018
Могу подтвердить, у меня было 6 репозиториев, помеченных github за наличие уязвимости hoek из-за библиотеки запросов.
johnbeech
27 апр. 2018
@jfoclpf Думаю, можно временно решить проблему, опубликовав вилки с обновленной версией. Но ты не хочешь идти по этому пути. Лучше дождитесь официального решения (которое не заставит себя долго ждать, так как состояние vce просто нужно обновить на hoek v4.2.1 ).
warpdesign
27 апр. 2018
Согласно тому, что мне сказали из других пакетов, это ложное срабатывание от github. В этой версии hoek нет уязвимости. Тем не менее, это раздражает, поэтому давайте дождемся официального обновления request .
jfoclpf
27 апр. 2018
Линейка релизов Node.js 4.x прекратит свое существование 30 апреля, после этого совместимость с ней не должна вызывать беспокойства.
dscalzi
27 апр. 2018
да, привет :wave: хук сопровождающий здесь. версия 4.2.1 исправлена . оповещения github в настоящее время неверны. Я отправил запрос на исправление диапазона версий в CVE, а также приставал к некоторым добрым людям на github, чтобы они позаботились обо всем на их стороне. _надеюсь_ скоро они перестанут сообщать об этой версии как об уязвимости.
nlf
27 апр. 2018
https://github.com/request/request/issues/2926#issuecomment-385087487
версия 4.2.1 исправлена
https://github.com/hapijs/hoek/issues/247#issuecomment-385012074
Я отправил запрос на обновление CVE, надеюсь, это произойдет в ближайшее время, и GitHub сможет обновить свою базу данных. Пока этого не произойдет, все это не в моих руках. Я оставляю это открытым в надежде, что другие люди найдут его.
!?
yumetodo
28 апр. 2018
@dscalzi ,
hawk > v7.0.0 прекращает поддержку узлов 4 и 6
https://github.com/hueniverse/hawk/blob/v7.0.1/.travis.yml
hawk >= v7.0.0 включает hoek 5.x.x
https://github.com/hueniverse/hawk/blob/master/package.json#L19
hoek v5.x.x прекращает поддержку узлов 4 и 6
https://github.com/hapijs/hoek/blob/v5.0.0/.travis.yml
dan-nl
29 апр. 2018
Как сейчас обстоят дела с этим вопросом, плз?
diamont1001
2 мая 2018
@diamont1001 это уже исправлено
ptrcnull
2 мая 2018
@Bjornskjald ты уверен?
[email protected]/1 -> [email protected] -> [email protected]
diamont1001
2 мая 2018
@diamont1001 hoek 4.2.1 имеет обратное портирование исправления
ptrcnull
2 мая 2018
@Бьорнскьяльд
diamont1001
2 мая 2018
@ diamont1001 diamont1001 , потому что, если бы вы не были достаточно ленивы, чтобы прочитать все обсуждение, вы бы увидели, что это ошибка с GitHub, и мейнтейнер hoek уже связался с ними ...
ptrcnull
2 мая 2018
@nlf Спасибо за обновление этой темы ранее! Есть ли ответ от Github? Я тоже подумываю пропинговать их...
JessicaSachs
3 мая 2018
обновление статуса?
debragail
4 мая 2018
обновление статуса?
@phillmv из персонала @GitHub опубликовал объяснение по адресу https://github.com/hapijs/hoek/issues/247#issuecomment -386708295:
[...] Мы исправили версии, о которых мы предупреждаем, еще в понедельник, и сегодня я лично удалил все плохие оповещения. [...]
cmfcmf
4 мая 2018
Привет, я прочитал все обсуждение, но у меня все еще есть проблема.
Я провел аудит npm и сообщил мне об 11 уязвимостях в пакете hoek.
Я обновил его до 7.0.7, но ничего не изменилось. Я также обновил пакет hawk, как было предложено выше, но ничего не изменилось.
Не могли бы вы мне помочь?
ghost
24 мая 2018
@NadGu , пожалуйста, сначала проверьте файл package-lock.json.
diamont1001
24 мая 2018
@diamont1001 сделано прямо сейчас. Версия хука 4.2.1. Что я могу сделать, чтобы обновить его?
ghost
24 мая 2018
[email protected] в порядке.
Я думаю, вам просто нужно подождать, пока github обновит данные, по крайней мере, я сделал это в то время, и это сработало.
diamont1001
24 мая 2018
@diamont1001 Так что подождем! По крайней мере, я сделал все, что мог. Спасибо!
ghost
24 мая 2018
@nadgu Привет!
Вы хотите сказать, что у вас есть репозиторий на GitHub, где мы по-прежнему помечаем версию 4.2.1 как уязвимую? Этого не должно быть!
Пожалуйста, напишите [email protected] со ссылкой на репозиторий и упомяните @phillmv , и мы возьмем его оттуда :).
phillmv
24 мая 2018
Эта проблема была автоматически помечена как устаревшая, поскольку в последнее время в ней не было активности. Он будет закрыт, если никакой дальнейшей активности не произойдет. Спасибо за ваш вклад.
![stale[bot] picture](https://avatars3.githubusercontent.com/in/1724?v=4&s=40)
stale[bot]
24 мая 2019
Смежные вопросы
crostine
·
3Комментарии
IgorDePaula
·
3Комментарии
ghost
·
3Комментарии
victor0402
·
4Комментарии
xin7c
·
3Комментарии
Самый полезный комментарий
да, привет :wave: хук сопровождающий здесь. версия 4.2.1 исправлена . оповещения github в настоящее время неверны. Я отправил запрос на исправление диапазона версий в CVE, а также приставал к некоторым добрым людям на github, чтобы они позаботились обо всем на их стороне. _надеюсь_ скоро они перестанут сообщать об этой версии как об уязвимости.