Prototype Pollution in Ajv

Thomas Braun

@sokomoto

Nix für 'Enduser' interessantes.
Da kann der Developer mal reinschauen und prüfen, ob er Dependencies aktualisiert.
Fummel da nicht mit npm audit fix
oder gar npm audit fix --force herum.

nodeJS und ioBroker auf Stand halten, dann werden die Versionen auch hochgezogen. Bei mir ist z. B. die gefixte Version von ajv vorhanden, ohne das ich die explizit angepackt hätte:

echad@chet:/opt/iobroker $ npm ls ajv
iobroker.inst@3.0.0 /opt/iobroker
├─┬ iobroker.backitup@2.3.5
│ └─┬ request@2.88.2
│   └─┬ har-validator@5.1.5
│     └── ajv@6.12.6
└─┬ iobroker.zigbee@1.6.16
  ├─┬ zigbee-herdsman-converters@14.0.422
  │ ├─┬ @eslint/eslintrc@1.1.0 extraneous
  │ │ └── ajv@6.12.6 deduped
  │ ├── ajv@6.12.6 extraneous
  │ ├─┬ eslint@8.9.0 extraneous
  │ │ └── ajv@6.12.6 deduped
  │ └─┬ zigbee-herdsman@0.14.14
  │   ├─┬ @eslint/eslintrc@1.0.5 extraneous
  │   │ └── ajv@6.12.6 deduped
  │   ├── ajv@6.12.6 extraneous
  │   └─┬ eslint@8.8.0 extraneous
  │     └── ajv@6.12.6 deduped
  └─┬ zigbee-herdsman@0.14.16
    ├─┬ @eslint/eslintrc@1.0.5 extraneous
    │ └── ajv@6.12.6 deduped
    ├── ajv@6.12.6 extraneous
    └─┬ eslint@8.8.0 extraneous
      └── ajv@6.12.6 deduped

Sokomoto

@thomas-braun sagte in Prototype Pollution in Ajv:

@sokomoto

Nix für 'Enduser' interessantes.
Da kann der Developer mal reinschauen und prüfen, ob er Dependencies aktualisiert.
Fummel da nicht mit npm audit fix
oder gar npm audit fix --force herum.

Deine Warnungen kommen zu spät, alles schon durch probiert...

Thomas Braun

@sokomoto sagte in Prototype Pollution in Ajv:

Deine Warnungen kommen zu spät

Hoffentlich hast du dir jetzt die Deps nicht komplett zerschossen.

Sokomoto

@thomas-braun sagte in Prototype Pollution in Ajv:

Bei mir ist z. B. die gefixte Version von ajv vorhanden, ohne das ich die explizit angepackt hätte:

Bei mir schaut das so aus:

C:\Program Files\iobroker\SmartHome>npm ls ajv
iobroker.inst@2.0.3 C:\Program Files\iobroker\SmartHome
+-- iobroker.backitup@2.3.3
| `-- request@2.88.2
|   `-- har-validator@5.1.3
|     `-- ajv@6.10.2
`-- iobroker.node-red@2.4.2
  `-- node-red@1.3.7
    `-- @node-red/nodes@1.3.7
      `-- ajv@6.12.6

Thomas Braun

@sokomoto
Möglich, dass beim nächsten Update von iobroker.backitup die Dependencies auch hochgezogen werden.

iobroker.inst@3.0.0 /opt/iobroker
├─┬ iobroker.backitup@2.3.5
│ └─┬ request@2.88.2
│   └─┬ har-validator@5.1.5
│     └── ajv@6.12.6

Sokomoto

@thomas-braun sagte in Prototype Pollution in Ajv:

@sokomoto
Möglich, dass beim nächsten Update von iobroker.backitup die Dependencies auch hochgezogen werden.

Ich kann den Backitup mal deinstallieren und neu installieren, vielleicht ist dann die richtige Version ajv@6.12.6 installiert.

Thomas Braun

@sokomoto

Warum beißt du dich eigentlich an ajv so fest?
Da sind ja auch noch andere
32 vulnerabilities (10 low, 14 moderate, 8 high)
gemeldet.

Ich würde da einfach die Finger von lassen und abwarten.

Bei mir sind
22 vulnerabilities (4 low, 9 moderate, 9 high)
offen. Kann aber nach dem nächsten Update wieder komplett anders aussehen.

Sokomoto

@thomas-braun sagte in Prototype Pollution in Ajv:

Warum beißt du dich eigentlich an ajv so fest?

Laut google ist die Version ajv@6.10.2 ein Sicherheitsrisiko für einen Denial-of-Service Angriff. Ob das relevant ist für den IOB, kann ich aber nicht beurteilen.

Thomas Braun

@sokomoto
Das audit ist voll von solchen Mitteilungen.
Bei mir z. B.

parsejson  *
Severity: high
Regular Expression Denial of Service in parsejson - https://github.com/advisories/GHSA-q75g-2496-mxpp
fix available via `npm audit fix --force`
Will install iobroker.cloud@2.5.0, which is a breaking change

Klärt sich irgendwann.

Sokomoto

@thomas-braun sagte in Prototype Pollution in Ajv:

@sokomoto
Das audit ist voll von solchen Mitteilungen.
Klärt sich irgendwann.

...ok du hast mich überredet, ich ignoriere diese Warnhinweise jetzt einfach.