linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

NodeBB - Vulnerability

NodeBB

1 Beiträge 1 Kommentatoren 179 Aufrufe

FrankM

schrieb am

Man stolpert beim Aktualisieren von NodeBB öfter über solche Zeilen.

found 7 vulnerabilities (2 moderate, 5 high) in 3687 scanned packages
  run `npm audit fix` to fix 6 of them.
  1 vulnerability requires manual review. See the full report for details.

Ein npm audit schmeißt dann z.B. so was hier aus.

~/nodebb$ npm audit
                                                                                
                       === npm audit security report ===                        
                                                                                
# Run  npm install helmet@3.21.2  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Configuration Override                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ helmet-csp                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ helmet                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ helmet > helmet-csp                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1176                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update handlebars --depth 3  to resolve 5 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1164                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1300                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary Code Execution                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1316                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary Code Execution                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1324                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1325                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mongodb                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.13                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io-adapter-mongo                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io-adapter-mongo > mubsub > mongodb                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1203                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (2 moderate, 5 high) in 3687 scanned packages
  run `npm audit fix` to fix 6 of them.
  1 vulnerability requires manual review. See the full report for details.

Gut, es gibt ein paar Pakete die ein Security Problem haben. Das kann man mit npm audit fix lösen. Dachte ich !?!?

~/nodebb$ npm audit fix

> husky@3.0.9 preuninstall /home/user_nodebb/nodebb/node_modules/husky
> node husky uninstall

husky > Uninstalling git hooks
husky > Done
npm WARN nodebb-plugin-emoji-android@2.0.0 requires a peer of nodebb-plugin-emoji@^2.0.0 but none is installed. You must install peer dependencies yourself.
npm WARN textcomplete.contenteditable@0.1.1 requires a peer of textcomplete@^0.14.2 but none is installed. You must install peer dependencies yourself.

npm ERR! code EEXIST
npm ERR! path /home/user_nodebb/nodebb/node_modules/.bin/handlebars
npm ERR! Refusing to delete /home/user_nodebb/nodebb/node_modules/.bin/handlebars: is outside /home/user_nodebb/nodebb/node_modules/handlebars and not a link
npm ERR! File exists: /home/user_nodebb/nodebb/node_modules/.bin/handlebars
npm ERR! Remove the existing file and try again, or run npm
npm ERR! with --force to overwrite files recklessly.

npm ERR! A complete log of this run can be found in:
npm ERR!     /home/user_nodebb/.npm/_logs/2019-12-22T08_15_40_111Z-debug.log

Die Logs schreiben aber fast immer rein, was man machen soll

 npm ERR! Remove the existing file and try again, or run npm

Ok, das bekommen wir hin

mv /home/user/nodebb/node_modules/.bin/handlebars /home/user

Zur Sicherheit mal irgendwo hin kopiert Und erneut fixen.

~/nodebb$ npm audit fix

> husky@3.0.9 preuninstall /home/user_nodebb/nodebb/node_modules/husky
> node husky uninstall

husky > Uninstalling git hooks
husky > Done

> husky@3.1.0 install /home/user_nodebb/nodebb/node_modules/husky
> node husky install

husky > Setting up git hooks
husky > Done

> husky@3.1.0 postinstall /home/user_nodebb/nodebb/node_modules/husky
> opencollective-postinstall || exit 0

Thank you for using husky!
If you rely on this package, please consider supporting our open collective:
> https://opencollective.com/husky/donate

npm WARN nodebb-plugin-emoji-android@2.0.0 requires a peer of nodebb-plugin-emoji@^2.0.0 but none is installed. You must install peer dependencies yourself.
npm WARN textcomplete.contenteditable@0.1.1 requires a peer of textcomplete@^0.14.2 but none is installed. You must install peer dependencies yourself.

+ helmet@3.21.2
added 4 packages from 3 contributors, removed 1 package, updated 10 packages and moved 1 package in 8.094s

6 packages are looking for funding
  run `npm fund` for details

fixed 6 of 7 vulnerabilities in 3687 scanned packages
  1 vulnerability required manual review and could not be updated

Gut, einer bleibt über.

~/nodebb$ npm audit
                                                                                
                       === npm audit security report ===                        
                                                                                
┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mongodb                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.13                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io-adapter-mongo                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io-adapter-mongo > mubsub > mongodb                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1203                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 high severity vulnerability in 3687 scanned packages
  1 vulnerability requires manual review. See the full report for details.

Da ich diese Datenbank nicht nutze, lasse ich den mal so stehen.

F

NodeBB - v3.7.0
Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb linux
1

0 Stimmen

1 Beiträge

47 Aufrufe

Niemand hat geantwortet
F

NodeBB - v3.6.0
Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb linux
1

0 Stimmen

1 Beiträge

58 Aufrufe

Niemand hat geantwortet
F

NodeBB - Security Vulnerability Notifications
Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb security
1

0 Stimmen

1 Beiträge

46 Aufrufe

Niemand hat geantwortet
F

NodeBB - Update auf v1.18.5 - sharp problem
Geplant Angeheftet Gesperrt Verschoben NodeBB
2

0 Stimmen

2 Beiträge

134 Aufrufe

F

Heute Morgen beim Kaffee dann dieses Forum hier gemacht. Dazu habe ich aber die Vorgehensweise, nach einem Tipp aus dem NodeBB-Forum, ein wenig geändert.

Ich habe jetzt festgestellt, das es sehr sinnvoll sein kann, nur mit einer Kopie zu arbeiten. Also, kopieren wir uns den ganzen Ordner.
cp -r nodebb/ nodebb_test/
In diesen Ordner dann wechseln.
cd nodebb_test/
Der Versuch von
./nodebb upgrade
ist wieder gescheitert.
In file included from ../src/common.cc:24: /usr/include/vips/vips8:35:10: fatal error: glib-object.h: Datei oder Verzeichnis nicht gefunden 35 | #include <glib-object.h> | ^~~~~~~~~~~~~~~ compilation terminated. make: *** [sharp-linux-x64.target.mk:139: Release/obj.target/sharp-linux-x64/src/common.o] Fehler 1 make: Verzeichnis „/home/user_nodebb/nodebb_test/node_modules/sharp/build“ wird verlassen gyp ERR! build error gyp ERR! stack Error: `make` failed with exit code: 2
Nun der Tipp aus dem NodeBB-Forum. Ich soll den node_modules/ Ordner neu installieren lassen. Ok, dazu sichern wir uns den erstmal.
mv node_modules/ node_modules_BAK/
Danach ein
npm install
Da ich kein nodejs Nerd bin, vermute ich mal, das npm (der Paketmanager) jetzt alle Pakete aus der package.json neu runterlädt und installiert!? Die Aussage ist mit Vorsicht zu genießen, da ich mir nicht 100% sicher bin. Sollte aber passen 😉 Jedenfalls habe ich danach wieder einen node_modules/ Ordner.

Dann hatte ich ja gestern gelernt, wie ich mir die Version der Pakete anzeigen lassen kann.
user@webserver2:~/nodebb_test$ npm list sharp nodebb@1.18.5 /home/user/nodebb_test └── sharp@0.29.2
Jetzt hat der Paketmanager npm in der richtigen Version installiert. 🤔 Schon ein wenig verrückt, oder?

Danach ein
./nodebb upgrade
Das lief durch
NodeBB Upgrade Complete!
Um das jetzt nicht nochmal machen zu müssen, habe ich die Original NodeBB Installation gesichert und den Testordner an dessen Stelle kopiert. Einmal neugestartet und ausprobiert. Bei dieser Version muss ich leider immer zweimal
./nodebb upgrade
machen, bis es ordentlich läuft. Seltsam, aber kann ich mit leben. Diese Paket sharp macht jedesmal auf eine andere Art und Weise Probleme - ziemlich nervig. Eigentlich ist dieser Upgrade Vorgang nämlich stressfrei und problemlos. In seltenen Fällen meckert er mal über ein FIle was schon da ist. Das sieht man aber in der Ausgabe und löscht das dann einfach, Vorgang erneut starten und gut.
Merksatz
Original Ordner kopieren und darin den Upgrade Prozess erst testen!!
F

NodeBB - Upload Größe
Geplant Angeheftet Gesperrt Verschoben NodeBB
1

0 Stimmen

1 Beiträge

152 Aufrufe

Niemand hat geantwortet
F

NodeBB - Update auf 1.13.3
Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb
1

0 Stimmen

1 Beiträge

193 Aufrufe

Niemand hat geantwortet
F

NodeBB - Auf Debian Buster 10 umziehen
Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb nginx nodejs letsencrypt debian
2

0 Stimmen

2 Beiträge

283 Aufrufe

F

Durch meinen Umzug zu einem neuen Proxmox, habe ich die Gelegenheit genutzt und meine Server alle auf Debian 11 Bullseye neu installiert. So konnte ich das alles noch mal testen und meine Doku anpassen.

Zu dem obigen Beitrag gibt es nur folgendes zu ergänzen. Ja, wir wollen ja auch was Aktuelles haben 😉
NodeJS
Link Preview Image Node.js — Run JavaScript Everywhere
Node.js® is a JavaScript runtime built on Chrome's V8 JavaScript engine.
favicon
(nodejs.org)

curl -fsSL https://deb.nodesource.com/setup_14.x | bash - NodeBB git clone -b v1.18.x https://github.com/NodeBB/NodeBB.git nodebb
https://github.com/NodeBB/NodeBB/branches
F

NodeBB & Google Adsense
Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb nodejs
1

0 Stimmen

1 Beiträge

255 Aufrufe

Niemand hat geantwortet