手动修复 npm install 漏洞 gulp-sass, node-sass
Fixing npm install vulnerabilities manually gulp-sass, node-sass
当我尝试将 gulp-sass 和 node-sass 安装到我的本地 git 项目时,我遇到了以下中度漏洞。我已经安装了 gulp 4.0 版。
我已经安装了最新版本的 hoek,5.0.3,并在安装软件包后尝试安装 gulp-sass 和 node-sass,但它仍然显示漏洞。我该如何手动解决这个问题?有没有办法修复这些文件?
漏洞:
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖
路径gulp-sass > node-sass > node-gyp > request > hawk > boom >
胡克
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖
路径gulp-sass > node-sass > node-gyp > request > hawk >
cryptiles > boom > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖
路径gulp-sass > node-sass > node-gyp > request > hawk > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖
路径gulp-sass > node-sass > node-gyp > request > hawk > sntp >
胡克
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径 node-sass > node-gyp > request > hawk > boom > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径 node-sass > node-gyp > request > hawk > cryptiles > boom >
胡克
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径 node-sass > node-gyp > request > hawk > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径node-sass > node-gyp > request > hawk > sntp > hoek
更多信息https://nodesecurity.io/advisories/566
提前致谢!
基本上,您的项目包含 in-turn 依赖于漏洞版本的 hoek 包的依赖项。在 github 中搜索了几个问题后,例如
- https://github.com/dlmanning/gulp-sass/issues/687
- https://github.com/sass/node-sass/issues/2288
- https://github.com/sass/node-sass/issues/2355
最后,发现这个问题只会在 node-sass https://github.com/sass/node-sass/issues/2111 的 v5 版本中得到修复。所以你需要等待 node-sass 的最新版本修复,之后 gulp-sass 也应该更新为使用 node-sass 的 v5 来完全修复这个问题。
有很多像这样的项目正在遭受原型污染,因为它们无法升级受影响的软件包(如 hoek)的易受攻击版本。
我为正面临这个问题的人创建了 no-pollution 库。您可以安装它并在项目的入口点包含 require('no-pollution') 以防止发生任何原型污染攻击,即使您安装了易受攻击的软件包也是如此。
当我尝试将 gulp-sass 和 node-sass 安装到我的本地 git 项目时,我遇到了以下中度漏洞。我已经安装了 gulp 4.0 版。
我已经安装了最新版本的 hoek,5.0.3,并在安装软件包后尝试安装 gulp-sass 和 node-sass,但它仍然显示漏洞。我该如何手动解决这个问题?有没有办法修复这些文件?
漏洞:
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖路径gulp-sass > node-sass > node-gyp > request > hawk > boom > 胡克
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖路径gulp-sass > node-sass > node-gyp > request > hawk > cryptiles > boom > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖路径gulp-sass > node-sass > node-gyp > request > hawk > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
gulp-sass
的依赖路径gulp-sass > node-sass > node-gyp > request > hawk > sntp > 胡克
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径 node-sass > node-gyp > request > hawk > boom > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径 node-sass > node-gyp > request > hawk > cryptiles > boom > 胡克
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径 node-sass > node-gyp > request > hawk > hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包装hoek
已在 > 4.2.0 < 5.0.0 中打补丁 || >= 5.0.3
节点的依赖-sass
路径node-sass > node-gyp > request > hawk > sntp > hoek
更多信息https://nodesecurity.io/advisories/566
提前致谢!
基本上,您的项目包含 in-turn 依赖于漏洞版本的 hoek 包的依赖项。在 github 中搜索了几个问题后,例如
- https://github.com/dlmanning/gulp-sass/issues/687
- https://github.com/sass/node-sass/issues/2288
- https://github.com/sass/node-sass/issues/2355
最后,发现这个问题只会在 node-sass https://github.com/sass/node-sass/issues/2111 的 v5 版本中得到修复。所以你需要等待 node-sass 的最新版本修复,之后 gulp-sass 也应该更新为使用 node-sass 的 v5 来完全修复这个问题。
有很多像这样的项目正在遭受原型污染,因为它们无法升级受影响的软件包(如 hoek)的易受攻击版本。
我为正面临这个问题的人创建了 no-pollution 库。您可以安装它并在项目的入口点包含 require('no-pollution') 以防止发生任何原型污染攻击,即使您安装了易受攻击的软件包也是如此。