Project

General

Profile

Actions

Anomalie #4598

open

found 25 vulnerabilities (23 low, 2 critical)

Added by Christian P. Momon over 4 years ago. Updated over 3 years ago.

Status:
En cours de traitement
Priority:
Normale
Assignee:
-
Target version:
Start date:
07/14/2020
Due date:
% Done:

0%

Estimated time:

Description

En installant un nouveau plugin (ici horizontal_line) via l'interface web, journalctl -f -u etherpad-lite.service retourne :

juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN saveError ENOENT: no such file or directory, open '/var/www/etherpad-lite-1.8.4/package.json'
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN enoent ENOENT: no such file or directory, open '/var/www/etherpad-lite-1.8.4/package.json'
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN ep_table_of_contents@0.2.0 requires a peer of ep_headings2@* but none is installed. You must install peer dependencies yourself.
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN etherpad-lite-1.8.4 No description
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN etherpad-lite-1.8.4 No repository field.
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN etherpad-lite-1.8.4 No README data
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: npm WARN etherpad-lite-1.8.4 No license field.
juil. 14 01:17:01 pad.cluster.chapril.org run.sh[29881]: [2020-07-14 01:17:01.719] [ERROR] console - 
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]: [2020-07-14 01:17:02.242] [INFO] console - + ep_horizontal_line@0.0.4
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]: added 1 package from 1 contributor and audited 954 packages in 6.033s
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]: [2020-07-14 01:17:02.596] [INFO] console - 
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]: 26 packages are looking for funding
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]:   run `npm fund` for details
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]: [2020-07-14 01:17:02.597] [INFO] console - found 25 vulnerabilities (23 low, 2 critical)
juil. 14 01:17:02 pad.cluster.chapril.org run.sh[29881]:   run `npm audit fix` to fix them, or `npm audit` for details
juil. 14 01:17:03 pad.cluster.chapril.org run.sh[29881]: [2020-07-14 01:17:03.076] [ERROR] console - Failed to load '/var/www/etherpad-lite-1.8.4/node_modules/ep_better_pdf_export/export.js' for 'ep_better_pdf_export/ep_better_pdf_export/hooks/exportConvert': Error: Cannot find module './node_modules/html-pdf'
juil. 14 01:17:03 pad.cluster.chapril.org run.sh[29881]: [2020-07-14 01:17:03.078] [INFO] console - Restarting express server

Demande : traiter le « found 25 vulnerabilities (23 low, 2 critical) ». Faire un npm audit ?

Actions #1

Updated by Christian P. Momon over 4 years ago

  • Description updated (diff)
Actions #2

Updated by Yves-Gaël Chény over 4 years ago

août 11 14:30:58 pad.cluster.chapril.org systemd[1]: Started etherpad-lite (real-time collaborative document editing).
août 11 14:30:59 pad.cluster.chapril.org run.sh[9531]: Ensure that all dependencies are up to date...  If this is the first time you have run Etherpad please be patient.
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]: updated 2 packages and audited 1000 packages in 5.53s
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]: 24 packages are looking for funding
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]:   run `npm fund` for details
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]: found 79 vulnerabilities (77 low, 2 high)
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]:   run `npm audit fix` to fix them, or `npm audit` for details
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]: Clearing minified cache...
août 11 14:31:05 pad.cluster.chapril.org run.sh[9531]: Started Etherpad...
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.348] [DEBUG] console - Running on Node v10.21.0 (minimum required Node version: 10.13.0)
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.519] [INFO] console - All relative paths will be interpreted relative to the identified Etherpad base dir: /var/www/etherpad-lite-1.8.4
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.520] [INFO] console - Random string used for versioning assets: 8308873d
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.521] [DEBUG] AbsolutePaths - Relative path "settings.json" can be rewritten to "/var/www/etherpad-lite-1.8.4/settings.json" 
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.521] [DEBUG] AbsolutePaths - Relative path "credentials.json" can be rewritten to "/var/www/etherpad-lite-1.8.4/credentials.json" 
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.524] [INFO] console - settings loaded from: /var/www/etherpad-lite-1.8.4/settings.json
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.525] [INFO] console - No credentials file found in /var/www/etherpad-lite-1.8.4/credentials.json. Ignoring.
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.526] [WARN] console - No "skinName" parameter found. Please check out settings.json.template and update your settings.json. Falling back to the default "colibris".
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.526] [INFO] console - Using skin "colibris" in dir: /var/www/etherpad-lite-1.8.4/src/static/skins/colibris
août 11 14:31:06 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:06.527] [INFO] console - Session key loaded from: /var/www/etherpad-lite-1.8.4/SESSIONKEY.txt
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.535] [INFO] APIHandler - Api key file read from: "/var/www/etherpad-lite-1.8.4/APIKEY.txt" 
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.800] [ERROR] console - Failed to load '/var/www/etherpad-lite-1.8.4/node_modules/ep_better_pdf_export/export.js' for 'ep_better_pdf_export/ep_better_pdf_export/hooks/exportConvert': Error: Cannot find module './node_modules/html-pdf'
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.850] [INFO] console - Installed plugins: ep_activepads@0.0.1, ep_author_hover@0.3.0, ep_better_pdf_export@0.0.4, ep_delete_empty_pads@0.0.6, ep_align@0.2.4, ep_adminpads2@0.0.4, ep_comments_page@0.1.5, ep_headings2@0.1.3, ep_font_size@0.3.7, ep_font_color@0.0.11, ep_spellcheck@0.0.7, ep_horizontal_line@0.0.4, ep_headings@0.1.6, ep_table_of_contents@0.2.1
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.852] [ERROR] console - Failed to load 'ep_better_pdf_export/export.js' for 'ep_better_pdf_export/ep_better_pdf_export/hooks/exportConvert': Error: Cannot find module './node_modules/html-pdf'
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.853] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.854] [WARN] console - Can't get git version for server header
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: ENOENT: no such file or directory, open '/var/www/etherpad-lite-1.8.4/.git/5fdce7a5f190df3858c7f441e9e3e6312af'
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.854] [WARN] console - Can't get git version for server header
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: ENOENT: no such file or directory, open '/var/www/etherpad-lite-1.8.4/.git/5fdce7a5f190df3858c7f441e9e3e6312af'
août 11 14:31:07 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:07.854] [INFO] console - Your Etherpad version is 1.8.4 ()
août 11 14:31:08 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:08.008] [INFO] console - You can access your Etherpad instance at http://:::9001/
août 11 14:31:08 pad.cluster.chapril.org run.sh[9531]: [2020-08-11 14:31:08.013] [INFO] console - The plugin admin page is at http://:::9001/admin/plugins
août 11 14:31:12 pad.cluster.chapril.or
Actions #3

Updated by Yves-Gaël Chény over 4 years ago

       === npm audit security report ===                        

# Run  npm update libnpx --depth 3  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpx > yargs > yargs-parser       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm update lodash --depth 4  to resolve 3 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > openapi-backend > lodash                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1523                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > openapi-backend > mock-json-schema >      │
│               │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1523                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > ueberdb2 > elasticsearch > lodash         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1523                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm update npm-registry-fetch --depth 5  to resolve 18 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libcipm > pacote >                  │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > pacote >                   │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > pacote > npm-registry-fetch         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > libnpmaccess >             │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpmaccess > npm-registry-fetch   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > libnpmhook >               │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpmhook > npm-registry-fetch     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > libnpmorg >                │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpmorg > npm-registry-fetch      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > libnpmpublish >            │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > libnpmsearch >             │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpmsearch > npm-registry-fetch   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > libnpmteam >               │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpmteam > npm-registry-fetch     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > npm-profile >              │
│               │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > npm-profile > npm-registry-fetch    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpm > npm-registry-fetch         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm-registry-fetch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > npm-registry-fetch                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1544                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Arbitrary File Read                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ html-pdf                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_better_pdf_export                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_better_pdf_export > html-pdf                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1095                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.1.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpx > update-notifier >          │
│               │ configstore > dot-prop                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1213                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.1.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > update-notifier > configstore >     │
│               │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1213                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Sensitive Data Exposure                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ npm                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.14.6                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1543                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 26 vulnerabilities (23 low, 2 high, 1 critical) in 868 scanned packages
  run `npm audit fix` to fix 22 of them.
  4 vulnerabilities require manual review. See the full report for details.

Actions #4

Updated by Yves-Gaël Chény over 4 years ago

cd /var/www
npm install npm@latest -g
systemctl restart etherpad-lite.service 
npm audit
npm audit fix
npm update
npm update --save-dev
npm install --save
npx npm-check-updates -u
npm install
systemctl restart etherpad-lite.service 
Actions #5

Updated by Yves-Gaël Chény over 4 years ago

août 11 14:54:15 pad.cluster.chapril.org systemd[1]: Started etherpad-lite (real-time collaborative document editing).
août 11 14:54:16 pad.cluster.chapril.org run.sh[11531]: Ensure that all dependencies are up to date...  If this is the first time you have run Etherpad please be patient.
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]: added 435 packages from 880 contributors, updated 1 package and audited 999 packages in 6.078s
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]: 25 packages are looking for funding
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]:   run `npm fund` for details
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]: found 2 high severity vulnerabilities
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]:   run `npm audit fix` to fix them, or `npm audit` for details
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]: Clearing minified cache...
août 11 14:54:23 pad.cluster.chapril.org run.sh[11531]: Started Etherpad...
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.279] [DEBUG] console - Running on Node v10.21.0 (minimum required Node version: 10.13.0)
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.421] [INFO] console - All relative paths will be interpreted relative to the identified Etherpad base dir: /var/www/etherpad-lite-1.8.4
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.421] [INFO] console - Random string used for versioning assets: fbb6ee27
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.422] [DEBUG] AbsolutePaths - Relative path "settings.json" can be rewritten to "/var/www/etherpad-lite-1.8.4/settings.json" 
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.422] [DEBUG] AbsolutePaths - Relative path "credentials.json" can be rewritten to "/var/www/etherpad-lite-1.8.4/credentials.json" 
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.425] [INFO] console - settings loaded from: /var/www/etherpad-lite-1.8.4/settings.json
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.426] [INFO] console - No credentials file found in /var/www/etherpad-lite-1.8.4/credentials.json. Ignoring.
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.426] [WARN] console - No "skinName" parameter found. Please check out settings.json.template and update your settings.json. Falling back to the default "colibris".
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.427] [INFO] console - Using skin "colibris" in dir: /var/www/etherpad-lite-1.8.4/src/static/skins/colibris
août 11 14:54:24 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:24.427] [INFO] console - Session key loaded from: /var/www/etherpad-lite-1.8.4/SESSIONKEY.txt
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.560] [INFO] APIHandler - Api key file read from: "/var/www/etherpad-lite-1.8.4/APIKEY.txt" 
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.843] [ERROR] console - Failed to load '/var/www/etherpad-lite-1.8.4/node_modules/ep_better_pdf_export/export.js' for 'ep_better_pdf_export/ep_better_pdf_export/hooks/exportConvert': Error: Cannot find module './node_modules/html-pdf'
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.908] [INFO] console - Installed plugins: ep_activepads@0.0.1, ep_author_hover@0.3.0, ep_better_pdf_export@6.6.10, ep_delete_empty_pads@0.0.6, ep_font_color@0.0.14, ep_adminpads2@0.0.4, ep_comments_page@0.1.5, ep_align@0.2.4, ep_headings2@0.1.3, ep_spellcheck@0.0.7, ep_headings@0.1.6, ep_font_size@0.3.7, ep_horizontal_line@0.0.4, ep_table_of_contents@0.2.1
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.911] [ERROR] console - Failed to load 'ep_better_pdf_export/export.js' for 'ep_better_pdf_export/ep_better_pdf_export/hooks/exportConvert': Error: Cannot find module './node_modules/html-pdf'
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.911] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.912] [WARN] console - Can't get git version for server header
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: ENOENT: no such file or directory, open '/var/www/etherpad-lite-1.8.4/.git/5fdce7a5f190df3858c7f441e9e3e6312af'
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.912] [WARN] console - Can't get git version for server header
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: ENOENT: no such file or directory, open '/var/www/etherpad-lite-1.8.4/.git/5fdce7a5f190df3858c7f441e9e3e6312af'
août 11 14:54:25 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:25.913] [INFO] console - Your Etherpad version is 1.8.4 ()
août 11 14:54:26 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:26.017] [INFO] console - You can access your Etherpad instance at http://:::9001/
août 11 14:54:26 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:26.019] [INFO] console - The plugin admin page is at http://:::9001/admin/plugins
août 11 14:54:30 pad.cluster.chapril.org run.sh[11531]: [2020-08-11 14:54:30.453] [INFO] ueberDB - Flushed 1 values

Actions #6

Updated by Yves-Gaël Chény over 4 years ago

=(^-^)=root@pad:/var/www/etherpad-lite# npm audit

                       === npm audit security report ===                        

# Run  npm update lodash --depth 4  to resolve 3 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > openapi-backend > lodash                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1523                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > openapi-backend > mock-json-schema >      │
│               │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1523                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > ueberdb2 > elasticsearch > lodash         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1523                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Arbitrary File Read                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ html-pdf                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_better_pdf_export                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_better_pdf_export > html-pdf                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1095                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.1.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > libnpx > update-notifier >          │
│               │ configstore > dot-prop                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1213                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.1.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ep_etherpad-lite                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ep_etherpad-lite > npm > update-notifier > configstore >     │
│               │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1213                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (3 low, 2 high, 1 critical) in 867 scanned packages
  run `npm audit fix` to fix 3 of them.
  3 vulnerabilities require manual review. See the full report for details.

Actions #7

Updated by Christian P. Momon over 4 years ago

  • Status changed from Nouveau to En cours de traitement
Actions #8

Updated by Christian P. Momon over 3 years ago

  • Assignee deleted (Yves-Gaël Chény)
Actions

Also available in: Atom PDF