search

jlidder / jswiremock

A Javascript library used for stubbing and mocking web services.
GNU General Public License v2.0
19 stars 13 forks source link

Node Security (nsp) reports three issues #10

Open mflodin opened 7 years ago

mflodin commented 7 years ago

Running nsp reports the following three issues. They originate from express so updating to ~4.14.1 or ~4.15.2 will fix the issues. Not sure if there are any other issues that arise from updating express, but the tests and e2e tests pass at least.

$> nsp check
(+) 3 vulnerabilities found
┌───────────────┬────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                           │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Name          │ negotiator                                                     │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ CVSS          │ 7.5 (High)                                                     │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Installed     │ 0.5.3                                                          │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <= 0.6.0                                                       │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 0.6.1                                                       │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Path          │ jswiremock@0.3.3 > express@4.11.2 > accepts@1.2.13 > negotiat… │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/106                         │
└───────────────┴────────────────────────────────────────────────────────────────┘
┌───────────────┬────────────────────────────────────────────────────────────────┐
│               │ Timing attack vulnerability                                    │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Name          │ cookie-signature                                               │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ CVSS          │ 5.4 (Medium)                                                   │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Installed     │ 1.0.5                                                          │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <=1.0.5                                                        │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Patched       │ >=1.0.6                                                        │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Path          │ jswiremock@0.3.3 > express@4.11.2 > cookie-signature@1.0.5     │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/134                         │
└───────────────┴────────────────────────────────────────────────────────────────┘
┌───────────────┬────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                           │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Name          │ ms                                                             │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ CVSS          │ 5.3 (Medium)                                                   │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Installed     │ 0.7.0                                                          │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <=0.7.0                                                        │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Patched       │ >0.7.0                                                         │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ Path          │ jswiremock@0.3.3 > express@4.11.2 > send@0.11.1 > ms@0.7.0     │
├───────────────┼────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/46                          │
└───────────────┴────────────────────────────────────────────────────────────────┘
jlidder commented 7 years ago

@mflodin thanks for looking into this. Check the commit i referenced above. I have upped the version of express js to the most recent version. Tests look like they are passing on travis. NSP looks clean:

$ nsp check
(+) No known vulnerabilities found

Maybe we can add this check for travis?

mflodin commented 7 years ago

@jlidder Thanks for fixing it so quickly!

OrangeDog commented 4 years ago

This issue has come up again. The problem is your declared dependencies are too restrictive.

https://npmjs.com/advisories/534 https://npmjs.com/advisories/535

jlidder commented 4 years ago

Sorry for the late reply @OrangeDog. Thanks for bringing this up. I'll be verifying this and updating on this shortly.