Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

WIP: Updating dependencies to fix vulnerabilities #5296

Merged
merged 5 commits into from
Dec 15, 2018
Merged

WIP: Updating dependencies to fix vulnerabilities #5296

merged 5 commits into from
Dec 15, 2018

Conversation

salimkayabasi
Copy link
Contributor

@salimkayabasi salimkayabasi commented Dec 7, 2018
edited
Loading

Issue

Some of the dependencies are quite outdated and one of them has High risk.

Report is here 
$ node -v
// v10.14.1
$ npm init -y

$ npm i osrm 

> osrm@5.20.0 install .....
> node-pre-gyp install --fallback-to-build=false || ./scripts/node_install.sh

[osrm] Success: "..../node_modules/osrm/lib/binding/node_osrm.node" is installed via remote
npm notice created a lockfile as package-lock.json. You should commit this file.
npm WARN test@1.0.0 No description
npm WARN test@1.0.0 No repository field.

+ osrm@5.20.0
added 153 packages from 93 contributors and audited 357 packages in 15.431s
found 11 vulnerabilities (1 low, 9 moderate, 1 high)
  run `npm audit fix` to fix them, or `npm audit` for details


$ npm audit

                      === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > hawk > boom > hoek                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > hawk > cryptiles > boom > hoek         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > hawk > hoek                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > hawk > sntp > hoek                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > request > hawk > boom > hoek           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > request > hawk > cryptiles > boom >    │
│               │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > request > hawk > hoek                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Prototype pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > request > hawk > sntp > hoek           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/566                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ sshpk                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=1.13.2 < 1.14.0 || >=1.14.1                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > request > http-signature > sshpk       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/606                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Out-of-bounds Read                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ stringstream                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.0.6                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > request > stringstream                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/664                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ deep-extend                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.5.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ osrm                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ osrm > node-pre-gyp > rc > deep-extend                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/612                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 11 vulnerabilities (1 low, 9 moderate, 1 high) in 357 scanned packages
  11 vulnerabilities require manual review. See the full report for details.

@danpat
Copy link
Member

danpat commented Dec 7, 2018

@salimkayabasi Could you update the description of this PR to describe why?

Also note that these changes have caused the builds to fail, can you please look at why?

@salimkayabasi salimkayabasi changed the title Updating dependencies WIP: Updating dependencies Dec 10, 2018
@salimkayabasi salimkayabasi changed the title WIP: Updating dependencies WIP: Updating dependencies to fix vulnerabilities Dec 10, 2018
@danpat danpat mentioned this pull request Dec 14, 2018
Merged
6 tasks
@danpat
Copy link
Member

danpat commented Dec 15, 2018

Some of the failures were due to packages that weren't compatible with our Node 4 build environment. I upgraded the build scripts to Node 10, removed the Node 4 and 6 binary publishing, and cleaned up a few more security warnings.

@salimkayabasi Thanks for the prompting on this one, it needed to be done.

@danpat danpat merged commit 7174060 into Project-OSRM:master Dec 15, 2018
@salimkayabasi salimkayabasi deleted the update-dependencies branch December 17, 2018 09:49
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers

@danpat danpat danpat approved these changes

Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.
2 participants
@salimkayabasi @danpat