Projet

Général

Profil

Anomalie #3810

pad.april.org : logs de vulnérabilités

Ajouté par Christian P. Momon il y a presque 5 ans. Mis à jour il y a plus de 3 ans.

Statut:
Rejeté
Priorité:
Élevée
Assigné à:
Loïc Dachary
Catégorie:
-
Version cible:
Backlog
Début:
14/07/2019
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
2 Facile

Description

Dans etherpad-lite, suite à l'installation de plugins (delete_empty_pad et spellcheck), on peut lire dans les logs :

> juil. 13 09:58:08 pad run.sh[576]: npm WARN saveError ENOENT: no such file or directory, open '/srv/etherpad-lite/package.json'
> juil. 13 09:58:08 pad run.sh[576]: npm notice created a lockfile as package-lock.json. You should commit this file.
> juil. 13 09:58:08 pad run.sh[576]: npm WARN enoent ENOENT: no such file or directory, open '/srv/etherpad-lite/package.json'
> juil. 13 09:58:08 pad run.sh[576]: npm WARN etherpad-lite No description
> juil. 13 09:58:08 pad run.sh[576]: npm WARN etherpad-lite No repository field.
> juil. 13 09:58:08 pad run.sh[576]: npm WARN etherpad-lite No README data
> juil. 13 09:58:08 pad run.sh[576]: npm WARN etherpad-lite No license field.
> juil. 13 09:58:08 pad run.sh[576]: [2019-07-13 09:58:08.761] [ERROR] console -
> juil. 13 09:58:08 pad run.sh[576]: [2019-07-13 09:58:08.763] [INFO] console - + ep_delete_empty_pads@0.0.4
> juil. 13 09:58:08 pad run.sh[576]: added 1 package from 1 contributor and audited 7814 packages in 12.007s
> juil. 13 09:58:08 pad run.sh[576]: [2019-07-13 09:58:08.764] [INFO] console - found 196 vulnerabilities (35 low, 85 moderate, 76 high)
> juil. 13 09:58:08 pad run.sh[576]:   run `npm audit fix` to fix them, or `npm audit` for details

La ligne inquiétante :

found 196 vulnerabilities (35 low, 85 moderate, 76 high) ».

Malheureusement :

(April) root@pad:/srv/etherpad-lite[live-1.7.0$%]# npm audit -h

Usage: npm <command>

where <command> is one of:
    access, adduser, bin, bugs, c, cache, completion, config,
    ddp, dedupe, deprecate, dist-tag, docs, edit, explore, get,
    help, help-search, i, init, install, install-test, it, link,
    list, ln, login, logout, ls, outdated, owner, pack, ping,
    prefix, prune, publish, rb, rebuild, repo, restart, root,
    run, run-script, s, se, search, set, shrinkwrap, star,
    stars, start, stop, t, tag, team, test, tst, un, uninstall,
    unpublish, unstar, up, update, v, version, view, whoami

npm <cmd> -h     quick help on <cmd>
npm -l           display full usage info
npm help <term>  search for help on <term>
npm help npm     involved overview

Specify configs in the ini-formatted file:
    /root/.npmrc
or on the command line via: npm <command> --key value
Config info can be viewed via: npm help config

npm@3.10.10 /usr/lib/node_modules/npm

Questions :
  • y-a-t-il véritablement un problème de vulnérabilité ?
  • est-ce lié à la non mise à jour de NodeJS (voir #3809) ?

Demandes liées

Duplique Admins - Demande #3812: pad.april.org : migrer nodejs de 6.x en 10.xFermé14/07/2019

Actions

Historique

#1

Mis à jour par Loïc Dachary il y a plus de 4 ans

  • Statut changé de Nouveau à Rejeté
#2

Mis à jour par Loïc Dachary il y a plus de 4 ans

  • Duplique Demande #3812: pad.april.org : migrer nodejs de 6.x en 10.x ajouté
#3

Mis à jour par Loïc Dachary il y a plus de 4 ans

Les vulnérabilités nodejs et/ou etherpad sont corrigées par des mises à jour de l'un ou l'autre

#4

Mis à jour par Christian P. Momon il y a plus de 3 ans

  • Assigné à mis à Loïc Dachary

Formats disponibles : Atom PDF