Regular Expression Denial of Service in semver

[madslundholmdk]

I forbindelse med en sikkerheds gennemgang af vores dependencies, blev der fundet en CVE på en af dependencies til dawa-autocomplete2: https://github.com/advisories/GHSA-x6fg-f45m-jf5q

Stien hen til den affected dependency, ser således ud:

• dawa-autocomplete2@1.0.4
  • rollup-plugin-node-builtins@2.1.2
  • browserify-fs@1.0.0
    • levelup@0.18.6
    • semver@2.3.2

Der anbefales at man som minimum opgradere til version 4.3.2 af semver.

Jeg undre mig over at rollup-plugin-node-builtins ligger i dependencies og ikke i devDependencies, når de andre rollup-plugins ligger her.

[madslundholmdk]

Der er ligeledes et sikkerhedshul i bl@0.8.2, som ligeledes er en del af levelup@0.18.6 https://github.com/advisories/GHSA-pp7h-53gx-mx7r + https://github.com/advisories/GHSA-wrw9-m778-g6mc

[iamfrank]

Jeg tager et kig på det. Vi havde håbet på at kunne pensionere dawa-autocomplete til fordel for gsearch, men der skal nok investeres i at holde den kørende lidt endnu, ser det ud til.

[madslundholmdk]

@iamfrank jeg kigger gerne på gsearch - har i noget dokumentation på dette?

[iamfrank]

@iamfrank jeg kigger gerne på gsearch - har i noget dokumentation på dette?

@madslundholmdk Det er stadig temmeligt unpolished, men du er velkommen til at kaste et blik på den aktuelle dokumentation: https://github.com/SDFIdk/gsearch/tree/dokumentation/doc Gsearch-teamet vil sikkert gerne have lidt feedback.

[iamfrank]

Dependencies er opdateret i seneste version 1.1.0

[kristiandupont]

Jeg har lige kigget på gsearch, men det ser ud til at at være en server (skrevet i Java)?

Hvis man gerne vil bruge en geo søgedims i JS, er det så stadig denne komponent der er mest oplagt?

[iamfrank]

@kristiandupont Du er nok interesseret i gsearch UI komponenten. https://github.com/SDFIdk/gsearch-ui