search

kevva / bin-build

Easily build binaries
MIT License
38 stars 13 forks source link

vulnerability error #13

Open sobolevn opened 6 years ago

sobolevn commented 6 years ago

Hi, there are multiple vulnerabilities with some widely-used versions of your package. Can they be addressed and back-ported?

npx: installed 115 in 9.19s
(+) 1 vulnerability found
┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Memory Exposure                                                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ tunnel-agent                                                       │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 5 (Medium)                                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.4.3                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=0.6.0                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ nuxt-imagemin@0.1.2 > imagemin-webpack-plugin@2.1.1 >              │
│            │ imagemin-optipng@5.2.1 > optipng-bin@3.1.4 > bin-build@2.2.0 >     │
│            │ download@4.4.3 > caw@1.2.0 > tunnel-agent@0.4.3                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/598                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype Pollution                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ deep-extend                                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 2 (Low)                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.5.1                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <6.5.2                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=6.5.2                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1                     │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/594                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype Pollution                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ deep-extend                                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 2 (Low)                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.5.1                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ All                                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ None                                                               ���
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1                     │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/612                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype Pollution                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ deep-extend                                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 2 (Low)                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.5.1                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <1.0.1                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=1.0.1                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1                     │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/611                             │
└────────────┴─���──────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Memory Exposure                                                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ tunnel-agent                                                       │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 5 (Medium)                                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.4.3                                                              │
├─────���──────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=0.6.0                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ tunnel-agent@0.4.3                                                 │
├────────────┼───────────────────────────���────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/598                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

Related: https://github.com/wemake-services/nuxt-imagemin/issues/2 Related: https://github.com/Klathmon/imagemin-webpack-plugin/issues/60 Related: https://github.com/imagemin/optipng-bin/issues/98

nylen commented 6 years ago

cc @kevva

svewag commented 5 years ago

Hey @kevva the dependency 'download' seem to be bumped to the 7.x. Can you please release the next bin-build version on npmjs.org in order to fullfil the audit task.

Thanks a lot.

tomciopp commented 5 years ago

Bump @kevva