代码之家 › 专栏 › 技术社区 › Yuvraj Patil

hoek节点模块的Github潜在安全漏洞错误

package-lock.json package.json node-modules github git

Yuvraj Patil · 技术社区 · 6 年前

今天,github在我的github存储库上显示以下错误:

我们在您的依赖项。中定义的依赖项/包锁定。json已经知道应更新安全漏洞。

单击Review vulnerable dependency按钮,显示以下消息:

5.0.3之前的hoek节点模块修改为通过“merge”假设不可变数据(MAID)漏洞

直到昨天,它还没有显示出这样的错误。我已经超过5天没有推送到此存储库了。知道为什么会这样吗。

8 回复 | 直到 6 年前

Keith DC 6 年前

我使用了: rm package-lock.json && npm update && npm install .对我来说,此更新 hoek 到 4.2.1 ,其中还包含修复( per this comment .)

编辑: 在另一个应用程序中,我运行 rm包锁。json 或者 npm i hoek && npm up && npm i && npm un hoek 或 npm i hoek && npm un hoek && npm up && npm i (无法调用顺序),这是更一致的 with this comment (from JamesSingleton) 。

( rm包锁。json 仅当它存在时。)

编辑: 在第三个应用程序中,我检查了 npm outdated 发现我必须升级 react-scripts-ts 从…起 2.13.0 到 2.15.1 .为此,我更新了 package.json 手动,然后运行 npm i .一旦完成, 霍克 更新至 4.2.1. (特别针对一个坚持者/主要组成部分)。

编辑: 我的Zurb Foundation 6站点解决方案:

我使用 npm过时 .然后我跑了:

npm i hoek@latest --save && npm up hoek

npm i boom hawk sntp uncss gulp-uncss --save && npm up boom hawk sntp uncss gulp-uncss && npm un boom hawk sntp gulp-uncss uncss --save

有两名反对者; browser-sync : 2.23.7 和 node-sass : 4.9.0 ,均为最新版本。无所谓:GitHub警告在提交后已解决。

Andrea Carraro 4 年前

npm update 应仅起作用 如果将易受攻击的包声明为direct project的依赖项 .但通常(如 hoek ) 漏洞分布 在那些活着的包裹里 在您的子依赖关系树中 。

就我而言 我决定不更新项目的所有依赖项 (通过删除并重建整个 package-lock.json 文件),我选择了以下(当然,也是更耗时的)方法:

发现所有的 发生率 我的 包锁定。json
后续行动 要查找的依赖关系树 顶级软件包 导入它们
卸载和 重新安装 那些 顶级软件包 使用相同的次要版本

例如:

npm r package-1 package-2 && npm i package-1@^1.2.3 package-2@^1.2.3

只有修复并发布了易受攻击的包,并且消费包使用 loose version number open to patch or minor versions 。

Uche Mukolo 6 年前

我使用了npm更新hoek&&npm安装hoek,软件包更新至5.0.3。

此后,漏洞警报从我的github Repo中消失。

Stephen Rauch Afsar Ali 6 年前

以上这些都不适合我。我对霍克的依赖深入到了子树中。是我先做的 npm ls hoek 得到了这样的结果:

âââ hoek@5.0.3
âââ¬ watson-developer-cloud@2.42.0
  âââ¬ request@2.83.0
  â âââ¬ hawk@6.0.2
  â   âââ¬ boom@4.3.1
  â   â âââ hoek@4.2.1  deduped
  â   âââ¬ cryptiles@3.1.2
  â   â âââ¬ boom@5.2.0
  â   â   âââ hoek@4.2.1  deduped
  â   âââ hoek@4.2.1
  â   âââ¬ sntp@2.1.0
  â     âââ hoek@4.2.1  deduped
  âââ¬ solr-client@0.7.0
    âââ¬ request@2.81.0
      âââ¬ hawk@3.1.3
        âââ¬ boom@2.10.1
        â âââ hoek@2.16.3  deduped
        âââ hoek@2.16.3
        âââ¬ sntp@1.0.9
          âââ hoek@2.16.3  deduped

然后我发现真正需要更新的是 watson-developer-cloud 因为这就是在顶级使用hoek的原因。

然后我做到了 npm install watson-developer-cloud@latest 这就解决了问题。

Arun Kumar Sahoo 6 年前

试运行(T) npm install hoek@4.2.x 或 npm install hoek@5 在您的项目中。

这将在软件包中安装所需的最新版本的hoek。json依赖项在包锁中覆盖hoek版本以上。json。

Engineero 6 年前

找到解决方案 here 。

基本上在git bash中, cd 在项目文件夹中,键入以下代码:

npm i hoek  
npm uninstall hoek 
npm update 
npm install

然后

git add .
git commit -m 'update-hoek'
git push origin master

现在再次检查GitHub项目页面,警告应该会消失。

当做

antzshrek 6 年前

我尝试了以上所有方法,但都没有奏效,所以我继续检查我的根本原因。

我跑了 npm ls hoek 这给了我:

âââ¬ fuse-box@3.3.0
â âââ¬ request@2.81.0
â   âââ¬ hawk@3.1.3
â     âââ¬ boom@2.10.1
â     â âââ hoek@2.16.3
â     âââ hoek@2.16.3
â     âââ¬ sntp@1.0.9
â       âââ hoek@2.16.3
âââ hoek@5.0.3

我注意到 hawk 对上一个 npm hawk ,所以我跑了 npm i hawk --save 。之后,我再次运行正常的git命令:

git add .
git commit -m 'whatever_message'
git push

然后回到Github和我的 安全漏洞 已修复。

Tsaela Pinto 6 年前

是的,CVE-2018-3728包易受攻击。4.2.1和5.0.3之前的hoek版本容易受到原型污染。受影响的hoek版本在版本5.0.2之前,补救措施将更新到版本4.2.1、5.0.3或更高版本。有关更多信息,您可以在此处查看修复请求: https://github.com/hapijs/hoek/pull/231/commits/5aed1a8c4a3d55722d1c799f2368857bf418d6df