Prototype Pollution in Ajv
-
Systemdata Bitte Ausfüllen Hardwaresystem: PC Arbeitsspeicher: 16GB Festplattenart: SSD Betriebssystem: Windows10 Node-Version: 14.19.0 Hosts: 4.0.18 NPM-Version: 6.14.16 Nach dem ausführen von 'npm audit' bekomme ich Warnungen über einen möglichen Angriff Denial-of-Service.
Ich verwende weder eine Portfreigabe noch eine VPN Verbindung nach außen, der IOB wird rein lokal benutzt.
Laut Virenscanner ist das Betriebssystem sauber. Kann mir bitte einer erklären was diese Meldungen genau bedeuten, aus den Erklärungen von Tante Google werde ich nicht schlau.Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.backitup Path iobroker.backitup > dropbox-v2-api > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.js-controller Path iobroker.js-controller > @iobroker/js-controller-adapter > @iobroker/js-controller-common > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.js-controller Path iobroker.js-controller > @iobroker/db-objects-file > @iobroker/db-base > @iobroker/js-controller-common > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.js-controller Path iobroker.js-controller > @iobroker/db-objects-jsonl > @iobroker/db-objects-file > @iobroker/db-base > @iobroker/js-controller-common > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.js-controller Path iobroker.js-controller > @iobroker/js-controller-adapter > @iobroker/db-objects-jsonl > @iobroker/db-objects-file > @iobroker/db-base > @iobroker/js-controller-common > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.js-controller Path iobroker.js-controller > @iobroker/js-controller-cli > @iobroker/js-controller-common-db > @iobroker/db-objects-jsonl > @iobroker/db-objects-file > @iobroker/db-base > @iobroker/js-controller-common > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw Moderate Prototype Pollution in Ajv Package ajv Patched in >=6.12.3 Dependency of iobroker.js-controller Path iobroker.js-controller > @iobroker/js-controller-cli > @iobroker/js-controller-common-db > @iobroker/db-objects-jsonl > @iobroker/db-objects-file > @iobroker/db-objects-redis > @iobroker/db-base > @iobroker/js-controller-common > request > har-validator > ajv More info https://github.com/advisories/GHSA-v88g-cgmw-v5xw High Resource exhaustion in engine.io Package engine.io Patched in >=4.0.0 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > engine.io More info https://github.com/advisories/GHSA-j4f2-536g-r55m High Resource exhaustion in engine.io Package engine.io Patched in >=4.0.0 Dependency of iobroker.node-red Path iobroker.node-red > node-red-dashboard > socket.io > engine.io More info https://github.com/advisories/GHSA-j4f2-536g-r55m Moderate Insecure defaults due to CORS misconfiguration in socket.io Package socket.io Patched in >=2.4.0 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io More info https://github.com/advisories/GHSA-fxwf-4rqh-v8g3 High Regular Expression Denial of Service in parsejson Package parsejson Patched in No patch available Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > socket.io-client > engine.io-client > parsejson More info https://github.com/advisories/GHSA-q75g-2496-mxpp Moderate Integer Overflow or Wraparound and Use of a Broken or Risky Cryptographic Algorithm in bcrypt Package bcrypt Patched in >=5.0.0 Dependency of iobroker.node-red Path iobroker.node-red > node-red > bcrypt More info https://github.com/advisories/GHSA-5wg4-74h6-q47v Moderate Integer Overflow or Wraparound and Use of a Broken or Risky Cryptographic Algorithm in bcrypt Package bcrypt Patched in >=5.0.0 Dependency of iobroker.node-red Path iobroker.node-red > node-red > @node-red/editor-api > bcrypt More info https://github.com/advisories/GHSA-5wg4-74h6-q47v Moderate Integer Overflow or Wraparound and Use of a Broken or Risky Cryptographic Algorithm in bcrypt Package bcrypt Patched in >=5.0.0 Dependency of iobroker.node-red Path iobroker.node-red > node-red > node-red-admin > bcrypt More info https://github.com/advisories/GHSA-5wg4-74h6-q47v Low Regular Expression Denial of Service in debug Package debug Patched in >=2.6.9 Dependency of iobroker.discovery Path iobroker.discovery > mdns-discovery > debug More info https://github.com/advisories/GHSA-gxpj-cx7g-858c Low Regular Expression Denial of Service in debug Package debug Patched in >=2.6.9 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > debug More info https://github.com/advisories/GHSA-gxpj-cx7g-858c Low Regular Expression Denial of Service in debug Package debug Patched in >=2.6.9 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > engine.io > debug More info https://github.com/advisories/GHSA-gxpj-cx7g-858c Low Regular Expression Denial of Service in debug Package debug Patched in >=2.6.9 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > socket.io-client > engine.io-client > debug More info https://github.com/advisories/GHSA-gxpj-cx7g-858c Low Regular Expression Denial of Service in debug Package debug Patched in >=2.6.9 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > socket.io-parser > debug More info https://github.com/advisories/GHSA-gxpj-cx7g-858c Low Regular Expression Denial of Service in debug Package debug Patched in >=2.6.9 Dependency of iobroker.node-red Path iobroker.node-red > node-red-contrib-polymer > socket.io > socket.io-adapter > socket.io-parser > debug More info https://github.com/advisories/GHSA-gxpj-cx7g-858c found 32 vulnerabilities (10 low, 14 moderate, 8 high) in 1264 scanned packages run `npm audit fix` to fix 1 of them. 31 vulnerabilities require manual review. See the full report for details.tschuess
-
Nix für 'Enduser' interessantes.
Da kann der Developer mal reinschauen und prüfen, ob er Dependencies aktualisiert.
Fummel da nicht mitnpm audit fix
oder garnpm audit fix --forceherum.nodeJS und ioBroker auf Stand halten, dann werden die Versionen auch hochgezogen. Bei mir ist z. B. die gefixte Version von ajv vorhanden, ohne das ich die explizit angepackt hätte:
echad@chet:/opt/iobroker $ npm ls ajv iobroker.inst@3.0.0 /opt/iobroker ├─┬ iobroker.backitup@2.3.5 │ └─┬ request@2.88.2 │ └─┬ har-validator@5.1.5 │ └── ajv@6.12.6 └─┬ iobroker.zigbee@1.6.16 ├─┬ zigbee-herdsman-converters@14.0.422 │ ├─┬ @eslint/eslintrc@1.1.0 extraneous │ │ └── ajv@6.12.6 deduped │ ├── ajv@6.12.6 extraneous │ ├─┬ eslint@8.9.0 extraneous │ │ └── ajv@6.12.6 deduped │ └─┬ zigbee-herdsman@0.14.14 │ ├─┬ @eslint/eslintrc@1.0.5 extraneous │ │ └── ajv@6.12.6 deduped │ ├── ajv@6.12.6 extraneous │ └─┬ eslint@8.8.0 extraneous │ └── ajv@6.12.6 deduped └─┬ zigbee-herdsman@0.14.16 ├─┬ @eslint/eslintrc@1.0.5 extraneous │ └── ajv@6.12.6 deduped ├── ajv@6.12.6 extraneous └─┬ eslint@8.8.0 extraneous └── ajv@6.12.6 deduped -
@thomas-braun sagte in Prototype Pollution in Ajv:
Nix für 'Enduser' interessantes.
Da kann der Developer mal reinschauen und prüfen, ob er Dependencies aktualisiert.
Fummel da nicht mitnpm audit fix
oder garnpm audit fix --forceherum.Deine Warnungen kommen zu spät, alles schon durch probiert...
-
@sokomoto sagte in Prototype Pollution in Ajv:
Deine Warnungen kommen zu spät
Hoffentlich hast du dir jetzt die Deps nicht komplett zerschossen.
-
@thomas-braun sagte in Prototype Pollution in Ajv:
Bei mir ist z. B. die gefixte Version von ajv vorhanden, ohne das ich die explizit angepackt hätte:
Bei mir schaut das so aus:
C:\Program Files\iobroker\SmartHome>npm ls ajv iobroker.inst@2.0.3 C:\Program Files\iobroker\SmartHome +-- iobroker.backitup@2.3.3 | `-- request@2.88.2 | `-- har-validator@5.1.3 | `-- ajv@6.10.2 `-- iobroker.node-red@2.4.2 `-- node-red@1.3.7 `-- @node-red/nodes@1.3.7 `-- ajv@6.12.6 -
@sokomoto
Möglich, dass beim nächsten Update von iobroker.backitup die Dependencies auch hochgezogen werden.iobroker.inst@3.0.0 /opt/iobroker ├─┬ iobroker.backitup@2.3.5 │ └─┬ request@2.88.2 │ └─┬ har-validator@5.1.5 │ └── ajv@6.12.6 -
@thomas-braun sagte in Prototype Pollution in Ajv:
@sokomoto
Möglich, dass beim nächsten Update von iobroker.backitup die Dependencies auch hochgezogen werden.Ich kann den Backitup mal deinstallieren und neu installieren, vielleicht ist dann die richtige Version ajv@6.12.6 installiert.
-
Warum beißt du dich eigentlich an ajv so fest?
Da sind ja auch noch andere
32 vulnerabilities (10 low, 14 moderate, 8 high)
gemeldet.Ich würde da einfach die Finger von lassen und abwarten.
Bei mir sind
22 vulnerabilities (4 low, 9 moderate, 9 high)
offen. Kann aber nach dem nächsten Update wieder komplett anders aussehen. -
@thomas-braun sagte in Prototype Pollution in Ajv:
Warum beißt du dich eigentlich an ajv so fest?
Laut google ist die Version ajv@6.10.2 ein Sicherheitsrisiko für einen Denial-of-Service Angriff. Ob das relevant ist für den IOB, kann ich aber nicht beurteilen.
-
@sokomoto
Das audit ist voll von solchen Mitteilungen.
Bei mir z. B.parsejson * Severity: high Regular Expression Denial of Service in parsejson - https://github.com/advisories/GHSA-q75g-2496-mxpp fix available via `npm audit fix --force` Will install iobroker.cloud@2.5.0, which is a breaking changeKlärt sich irgendwann.
-
@thomas-braun sagte in Prototype Pollution in Ajv:
@sokomoto
Das audit ist voll von solchen Mitteilungen.
Klärt sich irgendwann....ok du hast mich überredet, ich ignoriere diese Warnhinweise jetzt einfach.
