From d555b052cbd598c0089f1ed116f78f3762c95a7c Mon Sep 17 00:00:00 2001 From: muxator Date: Thu, 8 Aug 2019 22:17:53 +0200 Subject: [PATCH] dependencies: update npm, 6.4.1 -> 6.10.3 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit This was an arbitrary file overwrite vulnerability in tar. A fix in the library was available, but npm and npm-lifecycle took a while to issue updated versions. Resolves #3598. Previously reported vulnerabilities fixed by this change: $ npm audit === npm audit security report === # Run npm install npm@6.10.3 to resolve 9 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > libcipm > npm-lifecycle > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > npm-lifecycle > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > libcipm > npm-lifecycle > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > npm-lifecycle > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > libcipm > npm-lifecycle > node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > npm-lifecycle > node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ npm │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ npm > node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ --- src/package.json | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/src/package.json b/src/package.json index 129e5b638..779732062 100644 --- a/src/package.json +++ b/src/package.json @@ -49,7 +49,7 @@ "log4js": "0.6.35", "measured-core": "1.11.2", "nodeify": "^1.0.1", - "npm": "6.4.1", + "npm": "6.10.3", "object.values": "^1.0.4", "request": "2.88.0", "resolve": "1.1.7",