inh*_*igh 7 security npm node-modules gulp npm-install
=== npm audit security report ===
???????????????????????????????????????????????????????????????????? ? Manual Review ? ? Some vulnerabilities require your attention to resolve ? ? ? ? Visit https://go.npm.me/audit-guide for additional guidance ? ????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????? ? High ? Arbitrary File Overwrite ? ????????????????????????????????????????????????????????????????????? ? Package ? tar ? ????????????????????????????????????????????????????????????????????? ? Patched in ? >=4.4.2 ? ????????????????????????????????????????????????????????????????????? ? Dependency of ? gulp-sass ? ????????????????????????????????????????????????????????????????????? ? Path ? gulp-sass > node-sass > node-gyp > tar ? ????????????????????????????????????????????????????????????????????? ? More info ? https://nodesecurity.io/advisories/803 吗?????????????????????????????????????????????????????????? ??????????????????? 在7659个扫描程序包中发现1个严重漏洞。1个漏洞需要手动检查。有关详细信息,请参见完整报告。
我的建议是尝试升级,但它们看起来确实依赖于第 3 方软件包。
对于 regexDOS,如果输入正确,它可能会让事情停止。与第二个漏洞不同。您应该首先升级这个,或者如果不能的话完全删除它。
但是 js-yaml 可能会使某些连接保持比应有的时间更长的时间,如果在不太可能的情况下您无法升级,那么您可以使用一些软件包来监视和关闭剩余的 http 连接,并以廉价的方式推迟小型 dos 攻击。Fail2ban * Splunk 用于监控 linux :)
| 归档时间: |
|
| 查看次数: |
6871 次 |
| 最近记录: |