hoek节点模块的Github潜在安全漏洞错误

我使用了: rm package-lock.json && npm update && npm install .对我来说,此更新 hoek 到 4.2.1 ,其中还包含修复( per this comment .)

编辑: 在另一个应用程序中,我运行 rm包锁。json 或者 npm i hoek && npm up && npm i && npm un hoek 或 npm i hoek && npm un hoek && npm up && npm i (无法调用顺序),这是更一致的 with this comment (from JamesSingleton) 。

( rm包锁。json 仅当它存在时。)

编辑: 在第三个应用程序中,我检查了 npm outdated 发现我必须升级 react-scripts-ts 从…起 2.13.0 到 2.15.1 .为此,我更新了 package.json 手动,然后运行 npm i .一旦完成, 霍克 更新至 4.2.1. (特别针对一个坚持者/主要组成部分)。

编辑: 我的Zurb Foundation 6站点解决方案:

我使用 npm过时 .然后我跑了:

npm i hoek@latest --save && npm up hoek

npm i boom hawk sntp uncss gulp-uncss --save && npm up boom hawk sntp uncss gulp-uncss && npm un boom hawk sntp gulp-uncss uncss --save

有两名反对者; browser-sync : 2.23.7 和 node-sass : 4.9.0 ,均为最新版本。无所谓:GitHub警告在提交后已解决。

npm update 应仅起作用 如果将易受攻击的包声明为direct project的依赖项 .但通常(如 hoek ) 漏洞分布 在那些活着的包裹里 在您的子依赖关系树中 。

就我而言 我决定不更新项目的所有依赖项 (通过删除并重建整个 package-lock.json 文件),我选择了以下(当然,也是更耗时的)方法:

• 发现 所有的 发生率 我的 包锁定。json
• 后续行动 要查找的依赖关系树 顶级软件包 导入它们
• 卸载 和 重新安装 那些 顶级软件包 使用相同的次要版本

例如:

npm r package-1 package-2 && npm i package-1@^1.2.3 package-2@^1.2.3

只有修复并发布了易受攻击的包,并且消费包使用 loose version number open to patch or minor versions 。

我使用了npm更新hoek&&npm安装hoek,软件包更新至5.0.3。

此后,漏洞警报从我的github Repo中消失。

以上这些都不适合我。我对霍克的依赖深入到了子树中。是我先做的 npm ls hoek 得到了这样的结果:

├── hoek@5.0.3
└─┬ watson-developer-cloud@2.42.0
  ├─┬ request@2.83.0
  │ └─┬ hawk@6.0.2
  │   ├─┬ boom@4.3.1
  │   │ └── hoek@4.2.1  deduped
  │   ├─┬ cryptiles@3.1.2
  │   │ └─┬ boom@5.2.0
  │   │   └── hoek@4.2.1  deduped
  │   ├── hoek@4.2.1
  │   └─┬ sntp@2.1.0
  │     └── hoek@4.2.1  deduped
  └─┬ solr-client@0.7.0
    └─┬ request@2.81.0
      └─┬ hawk@3.1.3
        ├─┬ boom@2.10.1
        │ └── hoek@2.16.3  deduped
        ├── hoek@2.16.3
        └─┬ sntp@1.0.9
          └── hoek@2.16.3  deduped

然后我发现真正需要更新的是 watson-developer-cloud 因为这就是在顶级使用hoek的原因。

然后我做到了 npm install watson-developer-cloud@latest 这就解决了问题。

试运行(T) npm install hoek@4.2.x 或 npm install hoek@5 在您的项目中。

这将在软件包中安装所需的最新版本的hoek。json依赖项在包锁中覆盖hoek版本以上。json。

找到解决方案 here 。

基本上在git bash中, cd 在项目文件夹中,键入以下代码:

npm i hoek  
npm uninstall hoek 
npm update 
npm install  

然后

git add .
git commit -m 'update-hoek'
git push origin master 

现在再次检查GitHub项目页面,警告应该会消失。

当做

我尝试了以上所有方法,但都没有奏效,所以我继续检查我的根本原因。

我跑了 npm ls hoek 这给了我:

├─┬ fuse-box@3.3.0
│ └─┬ request@2.81.0
│   └─┬ hawk@3.1.3
│     ├─┬ boom@2.10.1
│     │ └── hoek@2.16.3
│     ├── hoek@2.16.3
│     └─┬ sntp@1.0.9
│       └── hoek@2.16.3
└── hoek@5.0.3

我注意到 hawk 对上一个 npm hawk ,所以我跑了 npm i hawk --save 。之后,我再次运行正常的git命令:

git add .
git commit -m 'whatever_message'
git push 

然后回到Github和我的 安全漏洞 已修复。

是的,CVE-2018-3728包易受攻击。4.2.1和5.0.3之前的hoek版本容易受到原型污染。 受影响的hoek版本在版本5.0.2之前,补救措施将更新到版本4.2.1、5.0.3或更高版本。 有关更多信息,您可以在此处查看修复请求: https://github.com/hapijs/hoek/pull/231/commits/5aed1a8c4a3d55722d1c799f2368857bf418d6df