Исправление аудита npm: 1 уязвимость высокой степени серьезности: произвольная перезапись файлов - PullRequest
Новая
       33

Исправление аудита npm: 1 уязвимость высокой степени серьезности: произвольная перезапись файлов

7 голосов
/ 11 апреля 2019

=== отчет о безопасности аудита npm ===

┌──────────────────────────────────── ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┐ Review Review Review Review Review │ Некоторые уязвимости требуют вашего внимания для устранения attention│ │ │ Посетите https://go.npm.me/audit-guide для получения дополнительных указаний. │ └──────────────────────────────────────────────────────────────────────── ────────────────┬───────────────────────────────────────────────────┐ │ Высокая │ Произвольная перезапись файла │ ├─────────────────────────────────────────────────────────────────────────────┤ │ Пакет │ tar │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Исправлено в │> = 4.4.2 │ ├───────────────┼───────────────────────────────── ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┤ │ pen ├ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ────────────────────────────────────────────────────┤ │ Путь │ gulp-sass> node-sass> node-gyp> tar │ ├───────────────┼────────────────────────────────────────────────────────┤ │ Подробнее │ https://nodesecurity.io/advisories/803 │ └─────────────────────┴──────── ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─в 7659 отсканированных пакетах 1 уязвимость требует проверки вручную.Подробности смотрите в полном отчете.

Ответы [ 2 ]

0 голосов
/ 22 апреля 2019

Аудит безопасности - это оценка зависимостей пакетов для уязвимостей безопасности. Аудиты безопасности помогают защитить пользователей вашего пакета, позволяя находить и устранять известные уязвимости в зависимостях, которые могут привести к потере данных, сбоям в обслуживании, несанкционированному доступу к конфиденциальной информации или другим проблемам.

npm установить npm @ latest -g

, который работал для меня

0 голосов
/ 11 апреля 2019

Мое предложение было бы попытаться обновить, но они выглядят зависимыми от сторонних пакетов.

Для regexDOS, если введен правильный ввод, он может перевернуть все до упора.В отличие от второй уязвимости.Вам следует сначала обновить его или полностью удалить его, если вы не можете.

Но js-yaml может сохранять некоторые соединения дольше, чем следовало бы, если в маловероятном случае вы не сможете обновитьСуществуют пакеты, которые вы можете использовать для отслеживания и закрытия оставшихся http-соединений и дешевого сдерживания атаки с небольшими дозами.Fail2ban * Splunk для мониторинга Spring to mind для Linux:)

...