web-dev-qa-db-fra.com

Comment réparer le package NPM Tar, avec une vulnérabilité élevée à propos de l'écrasement de fichiers arbitraires, lorsque le package est à jour?

Je viens d'installer Flickity de NPM et j'ai reçu un rapport de sécurité d'audit NPM après avoir exécuté npm audit indiquant que j'ai un problème de vulnérabilité élevé concernant Écrasement arbitraire de fichiers sur le paquet tar qui est une dépendance de node-sass comme vous pouvez le voir ici:

High......................... Arbitrary File Overwrite                                     
Package...................... tar                                                          
Patched in................... >=4.4.2                                                      
Dependency of................ node-sass [dev]                                              
Path......................... node-sass > node-gyp > tar                                   
More info.................... https://npmjs.com/advisories/803

Fonctionnement npm audit fix n'a pas résolu le problème car la vulnérabilité nécessite un examen manuel. La recommandation du lien plus d'informations dit de mettre à niveau vers la version 4.4.2 ou plus tard. Quand j'ai couru npm show tar version J'ai réalisé que j'utilisais la version 4.4.8 donc ça m'a dérouté. Je suis allé à package-lock.json et réalisé node-gyp, qui est une dépendance de node-sass, utilise la version tar ^ 2.0.

Cela m'embrouille car j'ai vu de nombreuses versions de tar différentes comme une dépendance d'autres packages mais cette node-sass > node-gyp > tar version est le seul ci-dessous v4.4.2. Pourquoi ça marche comme ça, pourquoi dois-je le réparer manuellement et comment puis-je réparer/mettre à niveau manuellement ce paquet tar?

npm-installtarnode-sassflickitynpm-audit
37
Wilbert Caba

Le problème est suivi sur la page gitgub

https://github.com/sass/node-sass/issues/2625

20
vordimous

Veuillez mettre à jour la valeur de "tar" dans votre fichier "package-lock.json". Et pour vérifier, exécutez "[npm audit][1] ".

"tar": {
      "version": "4.4.8",
      "resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
      "integrity": "value",
      "dev": true,
      "optional": true,
      "requires": {
        "block-stream": "*",
        "fstream": "^1.0.2",
        "inherits": "2"
      }
    }
4
Prateek Kumar Dalbehera

Dans votre package-lock.jason, mettez à jour tar pour le nœud ci-dessous (v 4.4.8):

"version": "4.4.8", "résolu": " https://registry.npmjs.org/tar/-/tar-4.4.8.tgz "

2
nobi malik

Depuis le problème github SASS : open package-lock.json Trouvez "tar" qui devrait ressembler à ceci:

"version": "2.2.1",
"resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",
"integrity": "sha1-jk0qJWwOIYXGsYrWlK7JaLg8sdE=",

Remplacez ces 3 lignes par:

"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
"integrity": "sha512-LzHF64s5chPQQS0IYBn9IN5h3i98c12bo4NCO7e0sGM2llXQ3p2FGC5sdENN4cTW48O915Sh+x+EXx7XW96xYQ==",

supprimez le dossier:

node_modules\npm
npm i
npm audit fix
npm audit

Tada!

0
OzBob