首页
学习
活动
专区
工具
TVP
发布
社区首页 >问答首页 >当包是最新的时,如何修复NPM包Tar,任意文件覆盖的高漏洞?

当包是最新的时,如何修复NPM包Tar,任意文件覆盖的高漏洞?
EN

Stack Overflow用户
提问于 2019-04-12 01:28:35
回答 4查看 18.5K关注 0票数 40

我刚从NPM安装了Flickity,在运行npm audit后得到了一份NPM审计安全报告,报告中指出我在包tar上的任意文件覆盖方面有一个高漏洞问题,这是节点-sass的一个依赖项,正如你在这里看到的:

High......................... Arbitrary File Overwrite                                     
Package...................... tar                                                          
Patched in................... >=4.4.2                                                      
Dependency of................ node-sass [dev]                                              
Path......................... node-sass > node-gyp > tar                                   
More info.................... https://npmjs.com/advisories/803 

运行npm audit fix并没有解决问题,因为该漏洞需要手动检查。更多信息链接上的建议是升级到4.4.2或更高版本。当我运行npm show tar version时,我意识到我运行的是4.4.8版本,这让我很困惑。我去了package-lock.json,发现node-gyp是node-sass的一个依赖项,它使用的是tar版本^2.0.0

这让我感到困惑,因为我已经看到许多不同的tar版本依赖于其他包,但这个node-sass > node-gyp > tar versionv4.4.2下面唯一的一个。为什么它是这样工作的,为什么我必须手动修复它,以及我如何手动修复/升级这个包?

EN

回答 4

Stack Overflow用户

回答已采纳

发布于 2019-04-12 02:51:15

这个问题正在gitgub页面上被跟踪

https://github.com/sass/node-sass/issues/2625

票数 20
EN

Stack Overflow用户

发布于 2019-04-20 02:25:32

请在"package-lock.json“文件中更新"tar”的值。要进行验证,请运行"[npm audit][1]“。

"tar": {
      "version": "4.4.8",
      "resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
      "integrity": "value",
      "dev": true,
      "optional": true,
      "requires": {
        "block-stream": "*",
        "fstream": "^1.0.2",
        "inherits": "2"
      }
    }
票数 4
EN

Stack Overflow用户

发布于 2019-04-15 14:33:02

在您的包-lock.jason中,将node的tar更新为以下版本(版本4.4.8):

"version":"4.4.8","resolved":"https://registry.npmjs.org/tar/-/tar-4.4.8.tgz

票数 2
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/55638180

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档