node-forge High severyity vulnerability - Javascript Instanz

lessthanmore

Hi,
wenn ich die Javascriptinstanz neustarte erhalte ich folgende Fehlermeldungen im Log:

javascript.0
2021-08-03 21:05:00.275	error	npm WARN deprecated uuid@3.4.0: Please upgrade to version 7 or higher. Older versions may use Math.random() in certain circumstances, which is known to be problematic. See https://v8.dev/blog/math-random for details.

javascript.0
2021-08-03 21:05:00.235	error	har-validator@5.1.5: this library is no longer supported

javascript.0
2021-08-03 21:05:00.235	error	npm WARN deprecated

javascript.0
2021-08-03 21:04:59.838	error	npm WARN deprecated request@2.88.2: request has been deprecated, see https://github.com/request/request/issues/3142

Ein npm audit zeigt mir folgendes:

Weiß jemand, wie ich das beheben kann?
Auch ein npm audit fix (--force) hilft hier nicht.

Danke vorab.

Thomas Braun

@lessthanmore
Würde ich die Finger von lassen.
Insbesondere vom audit fix.
Da macht man in der Regel mehr mit kaputt als daß es was Gutes bringt.

Welche Version von nodeJS rennt da?

lessthanmore

@thomas-braun Den "request" - Fehler habe ich jetzt weg. Warum auch immer hatte ich als zusätzliches node-module noch request im js-Adapter (muss wohl ein Überbleibsel von irgendeiner Anleitung gewesen sein). Egal, habe es rausgenommen und das ist schon mal weg.

NodeJS ist auf 14.17.4.
NPM ist auf 6.14.14

Thomas Braun · NodeJS ist auf 14.17.4. NPM ist auf 6.14.14

@lessthanmore

uuid wird u.a. auch von request angeschleppt:

Last login: Wed Aug  4 00:05:39 2021 from 192.168.178.51

Wi-Fi is currently blocked by rfkill.
Use raspi-config to set the country before use.

echad@chet:~ $ cd /opt/iobroker/
echad@chet:/opt/iobroker $ npm list uuid
iobroker.inst@3.0.0 /opt/iobroker
├─┬ iobroker.admin@5.1.21
│ └─┬ request@2.88.2
│   └── uuid@3.4.0
├─┬ iobroker.alexa2@3.9.3
│ └─┬ alexa-remote2@3.8.1
│   └── uuid@8.3.2 deduped
├─┬ iobroker.backitup@2.1.13
│ ├─┬ dropbox-v2-api@2.4.39
│ │ └─┬ request@2.88.0
│ │   └── uuid@3.4.0
│ └─┬ googleapis@76.0.0
│   └─┬ googleapis-common@5.0.2
│     └── uuid@8.3.2 deduped
├─┬ iobroker.iot@1.8.22
│ └── uuid@8.3.2
├─┬ iobroker.javascript@5.2.8
│ └─┬ request@2.88.2
│   └── uuid@3.4.0
└─┬ iobroker.zigbee@1.5.6
  ├─┬ zigbee-herdsman-converters@14.0.162
  │ ├─┬ node-notifier@8.0.2 extraneous
  │ │ └── uuid@8.3.2 deduped
  │ ├─┬ request@2.88.2 extraneous
  │ │ └── uuid@3.4.0 extraneous
  │ ├── uuid@8.3.2 extraneous
  │ └─┬ zigbee-herdsman@0.13.107
  │   ├─┬ node-notifier@8.0.1 extraneous
  │   │ └── uuid@8.3.2 deduped
  │   ├─┬ request@2.88.2 extraneous
  │   │ └── uuid@3.4.0 extraneous
  │   └── uuid@8.3.2 extraneous
  └─┬ zigbee-herdsman@0.13.110
    ├─┬ node-notifier@8.0.1 extraneous
    │ └── uuid@8.3.2 deduped
    ├─┬ request@2.88.2 extraneous
    │ └── uuid@3.4.0 extraneous
    └── uuid@8.3.2 extraneous

echad@chet:/opt/iobroker $

lessthanmore

@thomas-braun Also bei mir taucht da weder der Admin noch Zigbee auf:

iobroker.inst@3.0.0 /opt/iobroker
├─┬ iobroker.accuweather@1.2.1
│ └─┬ request@2.88.2
│   └── uuid@3.4.0 
├─┬ iobroker.alexa2@3.9.3
│ └─┬ alexa-remote2@3.9.0
│   └── uuid@8.3.2 
├─┬ iobroker.ical@1.11.2
│ └─┬ node-ical@0.13.0
│   └── uuid@8.3.2 
├─┬ iobroker.lovelace@2.0.4
│ └─┬ nyc@15.1.0
│   └─┬ istanbul-lib-processinfo@2.0.2
│     └── uuid@3.4.0  deduped
└─┬ iobroker.sourceanalytix@0.4.9 (github:DrozmotiX/ioBroker.sourceanalytix#babd1df46807559b5ffd392925189c016788e1e4)
  └─┬ npm@7.20.1
    └─┬ node-gyp@7.1.2
      └─┬ request@2.88.2
        └── uuid@3.4.0

Asgothian

@lessthanmore

Entscheidend ist das die Bibliothek zumeist über weitere Bibliotheken dazu kommt.

Kandidaten sind

node-ical 0.13.0 (aktuell)
nyc 15.1.0 (aktuell)
request 2.88.2 (aktuell)
node-notifier 8.0.1, 8.0.2 (nicht aktuell)

Die direkt verwendete Version scheint schon ohne die entsprechenden Fehler zu sein. Um die verwundbare version loszuwerden müssten die entsprechenden Pakete angepasst werden.

Ob das "mal eben" geht ist bei uuid zumindest mal fraglich :

Upgrading from uuid@3.x? Your code is probably okay, but check out Upgrading From uuid@3.x for details.

A.

lessthanmore

@asgothian Okay, Danke. Ich lass dann mal die Finger davon, so lange alles läuft.

oFbEQnpoLKKl6mbY5e13

@asgothian
Hat jetzt nichts mit dem JS-Controller 4.0 zu tun, ist mir nur beim Test aufgefallen.

2022-02-03 11:32:43.234  - [32minfo[39m: host.iobroker-d-test instance system.adapter.javascript.0 started with pid 9387
2022-02-03 11:32:46.312  - [32minfo[39m: javascript.0 (9387) Plugin sentry Sentry Plugin disabled for this process because sending of statistic data is disabled for the system
2022-02-03 11:32:46.470  - [32minfo[39m: javascript.0 (9387) starting. Version 5.2.21 in /opt/iobroker/node_modules/iobroker.javascript, node: v14.18.3, js-controller: 4.0.0-alpha.72-20220203-aa6d25b3
2022-02-03 11:32:46.526  - [32minfo[39m: javascript.0 (9387) npm install request --production (System call)
2022-02-03 11:32:48.802  - [31merror[39m: javascript.0 (9387) npm WARN deprecated request@2.88.2: request has been deprecated, see https://github.com/request/request/issues/3142
2022-02-03 11:32:49.700  - [31merror[39m: javascript.0 (9387) npm
2022-02-03 11:32:49.704  - [31merror[39m: javascript.0 (9387)  
2022-02-03 11:32:49.709  - [31merror[39m: javascript.0 (9387) WARN
2022-02-03 11:32:49.713  - [31merror[39m: javascript.0 (9387)  
2022-02-03 11:32:49.717  - [31merror[39m: javascript.0 (9387) deprecated har-validator@5.1.5: this library is no longer supported
2022-02-03 11:32:50.413  - [31merror[39m: javascript.0 (9387) npm WARN deprecated uuid@3.4.0: Please upgrade  to version 7 or higher.  Older versions may use Math.random() in certain circumstances, which is known to be problematic.  See https://v8.dev/blog/math-random for details.

Soll das jetzt so bleiben oder ist das durch mich zu beheben? Konnte ich nicht so richtig aus diesem Thread herauslesen.

Community Forum

NEWS

node-forge High severyity vulnerability - Javascript Instanz

Support us

788

32.5k

81.7k

1.3m