security - npm 审计修复:1 个高严重性漏洞:任意文件覆盖
问题描述
=== npm audit security report ===
┌───────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└───────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────┐
│ High │ Arbitrary File Overwrite │
├───────────────┼───────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼───────────────────────────────────────────────────┤
│ Patched in │ >=4.4.2 │
├───────────────┼───────────────────────────────────────────────────┤
│ Dependency of │ gulp-sass │
├───────────────┼───────────────────────────────────────────────────┤
│ Path │ gulp-sass > node-sass > node-gyp > tar │
├───────────────┼───────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/803 │
└───────────────┴───────────────────────────────────────────────────┘
found 1 high severity vulnerability in 7659 scanned packages
1 vulnerability requires manual review. See the full report for details.
解决方案
我的建议是尝试升级,但它们看起来确实依赖于 3rd 方包。
对于 regexDOS,如果输入正确,它可能会停止工作。不同于第二个漏洞。你应该先升级这个,或者如果你不能完全删除它。
但是 js-yaml 可能会使某些连接停留的时间比应有的时间长,如果在不太可能的情况下您无法升级,那么您可以使用一些软件包来监视和关闭剩余的 http 连接并便宜地推迟一个小dos攻击。Fail2ban * Splunk 用于监控 linux 的春天 :)
推荐阅读
- python - OpenCV Python Canny 边缘检测是否应该根据图像大小给我非常不同的结果?
- office365 - 如何使用 Graph SDK 获取用户的邮箱设置
- ruby - 为什么 ruby 的 IO.read 添加换行符?
- php - 从查询结果到关联数组 Codeigniter
- json - 从 JSON 反序列化多维数组
- c# - 在 C# FileStream 中用 3 替换一个字节
- javascript - Webpack 4 正在摇树引导,我该如何防止呢?
- google-cloud-platform - GCP url map 为不同的后端服务创建路径规则
- ruby-on-rails - Rails 5.2.1 Webpacker Babel 没有转译 React
- c++ - 我可以将新的 std::tuple 放入内存映射区域,然后再读回来吗?