Skip to content
linux-nerds.org

linux-nerds.org
  1. Übersicht
  2. Linux
  3. NodeBB
  4. NodeBB - Vulnerability

NodeBB - Vulnerability

NodeBB
  • FrankMF

    Man stolpert beim Aktualisieren von NodeBB öfter über solche Zeilen.

    found 7 vulnerabilities (2 moderate, 5 high) in 3687 scanned packages
  run `npm audit fix` to fix 6 of them.
  1 vulnerability requires manual review. See the full report for details.

    Ein npm audit schmeißt dann z.B. so was hier aus.

    ~/nodebb$ npm audit
                                                                                
                       === npm audit security report ===                        
                                                                                
# Run  npm install helmet@3.21.2  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Configuration Override                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ helmet-csp                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ helmet                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ helmet > helmet-csp                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1176                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update handlebars --depth 3  to resolve 5 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1164                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1300                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary Code Execution                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1316                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary Code Execution                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1324                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nyc [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nyc > istanbul-reports > handlebars                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1325                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mongodb                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.13                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io-adapter-mongo                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io-adapter-mongo > mubsub > mongodb                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1203                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (2 moderate, 5 high) in 3687 scanned packages
  run `npm audit fix` to fix 6 of them.
  1 vulnerability requires manual review. See the full report for details.

    Gut, es gibt ein paar Pakete die ein Security Problem haben. Das kann man mit npm audit fix lösen. Dachte ich !?!?

    ~/nodebb$ npm audit fix

> husky@3.0.9 preuninstall /home/user_nodebb/nodebb/node_modules/husky
> node husky uninstall

husky > Uninstalling git hooks
husky > Done
npm WARN nodebb-plugin-emoji-android@2.0.0 requires a peer of nodebb-plugin-emoji@^2.0.0 but none is installed. You must install peer dependencies yourself.
npm WARN textcomplete.contenteditable@0.1.1 requires a peer of textcomplete@^0.14.2 but none is installed. You must install peer dependencies yourself.

npm ERR! code EEXIST
npm ERR! path /home/user_nodebb/nodebb/node_modules/.bin/handlebars
npm ERR! Refusing to delete /home/user_nodebb/nodebb/node_modules/.bin/handlebars: is outside /home/user_nodebb/nodebb/node_modules/handlebars and not a link
npm ERR! File exists: /home/user_nodebb/nodebb/node_modules/.bin/handlebars
npm ERR! Remove the existing file and try again, or run npm
npm ERR! with --force to overwrite files recklessly.

npm ERR! A complete log of this run can be found in:
npm ERR!     /home/user_nodebb/.npm/_logs/2019-12-22T08_15_40_111Z-debug.log

    Die Logs schreiben aber fast immer rein, was man machen soll 🙂

     npm ERR! Remove the existing file and try again, or run npm

    Ok, das bekommen wir hin

    mv /home/user/nodebb/node_modules/.bin/handlebars /home/user

    Zur Sicherheit mal irgendwo hin kopiert 😉 Und erneut fixen.

    ~/nodebb$ npm audit fix

> husky@3.0.9 preuninstall /home/user_nodebb/nodebb/node_modules/husky
> node husky uninstall

husky > Uninstalling git hooks
husky > Done

> husky@3.1.0 install /home/user_nodebb/nodebb/node_modules/husky
> node husky install

husky > Setting up git hooks
husky > Done

> husky@3.1.0 postinstall /home/user_nodebb/nodebb/node_modules/husky
> opencollective-postinstall || exit 0

Thank you for using husky!
If you rely on this package, please consider supporting our open collective:
> https://opencollective.com/husky/donate

npm WARN nodebb-plugin-emoji-android@2.0.0 requires a peer of nodebb-plugin-emoji@^2.0.0 but none is installed. You must install peer dependencies yourself.
npm WARN textcomplete.contenteditable@0.1.1 requires a peer of textcomplete@^0.14.2 but none is installed. You must install peer dependencies yourself.

+ helmet@3.21.2
added 4 packages from 3 contributors, removed 1 package, updated 10 packages and moved 1 package in 8.094s

6 packages are looking for funding
  run `npm fund` for details

fixed 6 of 7 vulnerabilities in 3687 scanned packages
  1 vulnerability required manual review and could not be updated

    Gut, einer bleibt über.

    ~/nodebb$ npm audit
                                                                                
                       === npm audit security report ===                        
                                                                                
┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mongodb                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.13                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ socket.io-adapter-mongo                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ socket.io-adapter-mongo > mubsub > mongodb                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1203                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 high severity vulnerability in 3687 scanned packages
  1 vulnerability requires manual review. See the full report for details.

    Da ich diese Datenbank nicht nutze, lasse ich den mal so stehen.

    Im Fediverse -> @FrankM@nrw.social

    1. NanoPi R5S
    2. Quartz64 Model B, 4GB RAM
    3. Quartz64 Model A, 4GB RAM
    4. RockPro64 v2.1
    0

  • FrankMF

    NodeBB - Upgrade auf Debian Bookworm 12

    NodeBB
    1
    0 Stimmen
    1 Beiträge
    155 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    NodeBB - Wichtige Befehle für die Konsole

    Angeheftet NodeBB
    1
    0 Stimmen
    1 Beiträge
    86 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    NodeBB - Upgrade v2.0.0

    NodeBB
    3
    0 Stimmen
    3 Beiträge
    134 Aufrufe
    FrankMF

    Irgendwie hatte ich Differenzen zwischen meinen beiden Foren, die es eigentlich nicht geben dürfte!?

    Problem scheint zu sein, das das Plugin

    nodebb-plugin-ns-embed

    nicht richtig funktioniert. Da bekam ich den Tipp, das Plugin

    nodebb-plugin-embed

    zu installieren. Das ging aber nicht über das Admin Panel, da kam folgendes.

    plugin_error.png

    Ok, dann von Hand

    npm install nodebb-plugin-embed

    Im Admin Panel aktivieren, danach Rebuild und Restarten. Aktuell in v2.0.0 nicht über das Admin Panle durchführbar, Fix ist schon fertig. Kommt wohl mit v2.0.1

    ./nodebb upgrade ./nodebb restart

    Danach lief alles!?? Hoffe ich 🙂

  • FrankMF

    NodeBB - Upgrade v1.19.4

    NodeBB
    1
    0 Stimmen
    1 Beiträge
    75 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    NodeBB - Update auf v1.18.4

    NodeBB
    1
    0 Stimmen
    1 Beiträge
    161 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    NodeBB - Kritische Sicherheitslücke

    NodeBB
    1
    0 Stimmen
    1 Beiträge
    142 Aufrufe
    Niemand hat geantwortet
  • FrankMF

    NodeBB - v1.14.0

    NodeBB
    3
    0 Stimmen
    3 Beiträge
    228 Aufrufe
    FrankMF

    Die gerade veröffentlichte Version 1.14.1 fixt das o.g. Problem. Alles wieder normal 😉

  • FrankMF

    Twitter-Beiträge in NodeBB anzeigen

    Verschoben NodeBB
    3
    0 Stimmen
    3 Beiträge
    316 Aufrufe
    FrankMF

    Endlich was gefunden um Twitter-Beiträge hier anzuzeigen. Beispiele siehe oben... YEAH

    Wie man das in NodeBB und dem Plugin nodebb-plugin-ns-embed einbaut, steht hier.
    https://community.nodebb.org/topic/7135/nodebb-plugin-ns-embed-ns-embed/39