web-dev-qa-db-de.com

Wie kann das NPM-Paket Tar mit einer hohen Sicherheitsanfälligkeit in Bezug auf das Überschreiben beliebiger Dateien behoben werden, wenn das Paket auf dem neuesten Stand ist?

Ich habe gerade Flickity von NPM installiert und nach dem Ausführen von npm audit Einen NPM-Audit-Sicherheitsbericht erhalten, der besagt, dass ich ein Problem mit hoher Sicherheitsanfälligkeit in Bezug auf Überschreiben beliebiger Dateien habe. ) on package tar das ist eine Abhängigkeit von node-sass wie Sie hier sehen können:

High......................... Arbitrary File Overwrite                                     
Package...................... tar                                                          
Patched in................... >=4.4.2                                                      
Dependency of................ node-sass [dev]                                              
Path......................... node-sass > node-gyp > tar                                   
More info.................... https://npmjs.com/advisories/803 

Das Ausführen von npm audit fix Hat das Problem nicht gelöst, da die Sicherheitsanfälligkeit manuell überprüft werden muss. Die Empfehlung unter dem Link more info besagt, dass ein Upgrade auf Version 4.4.2 Oder höher durchgeführt werden soll. Als ich npm show tar version Ausführte, wurde mir klar, dass ich die Version 4.4.8 Ausführe, was mich verwirrte. Ich ging zu package-lock.json und stellte fest, dass node-gyp, eine Abhängigkeit von node-sass, die tar-Version verwendet ^ 2.0.0

Das verwirrt mich, da ich viele verschiedene Tar-Versionen als Abhängigkeit von anderen Paketen gesehen habe, aber dies node-sass > node-gyp > tar version Ist das einzige unten v4.4.2. Warum funktioniert es so, warum muss ich es manuell reparieren und wie kann ich dieses eine Teerpaket manuell reparieren/aktualisieren ?

37
Wilbert Caba

Das Problem wird auf der Gitgub-Seite verfolgt

https://github.com/sass/node-sass/issues/2625

20
vordimous

Bitte aktualisieren Sie den Wert für "tar" in Ihrer Datei "package-lock.json". Führen Sie zur Überprüfung "[npm audit][1] ".

"tar": {
      "version": "4.4.8",
      "resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
      "integrity": "value",
      "dev": true,
      "optional": true,
      "requires": {
        "block-stream": "*",
        "fstream": "^1.0.2",
        "inherits": "2"
      }
    }

In Ihrem package-lock.jason-Update tar für Knoten auf unten (v 4.4.8):

"version": "4.4.8", "behoben": " https://registry.npmjs.org/tar/-/tar-4.4.8.tgz "

2
nobi malik

Aus dem SASS Github-Problem : Öffnen Sie package-lock.json. Suchen Sie "tar", das so aussehen sollte:

"version": "2.2.1",
"resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",
"integrity": "sha1-jk0qJWwOIYXGsYrWlK7JaLg8sdE=",

Ersetzen Sie diese 3 Zeilen durch:

"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
"integrity": "sha512-LzHF64s5chPQQS0IYBn9IN5h3i98c12bo4NCO7e0sGM2llXQ3p2FGC5sdENN4cTW48O915Sh+x+EXx7XW96xYQ==",

ordner löschen:

node_modules\npm
npm i
npm audit fix
npm audit

Tada!

0
OzBob