구축(deps): ws를 7.4.2에서 7.4.6으로 업그레이드
묘사
7.4.2에서 7.4.6까지의 충돌ws.릴리즈 노트
출처ws's releases.
7.4.6
취약점 복구
- Fixed a ReDoS vulnerability (00c425ec).
A specially crafted value of the
Sec-Websocket-Protocol
header could be used to significantly slow down a ws server.for (const length of [1000, 2000, 4000, 8000, 16000, 32000]) { const value = 'b' + ' '.repeat(length) + 'x'; const start = process.hrtime.bigint();
value.trim().split(/ *, */);
const end = process.hrtime.bigint();
console.log('length = %d, time = %f ns', length, end - start); }
The vulnerability was responsibly disclosed along with a fix in private by Robert McLaughlin from University of California, Santa Barbara.
In vulnerable versions of ws, the issue can be mitigated by reducing the maximum allowed length of the request headers using the
--max-http-header-size=size
and/or themaxHeaderSize
options.7.4.5
취약점 복구
- UTF-8 validation is now done even if
utf-8-validate
is not installed (23ba6b29).- Fixed an edge case where
websocket.close()
andwebsocket.terminate()
did not close the connection (67e25ff5).7.4.4
취약점 복구
- Fixed a bug that could cause the process to crash when using the permessage-deflate extension (92774377).
7.4.3
취약점 복구
- The deflate/inflate stream is now reset instead of reinitialized when context takeover is disabled (#1840).
언약
f5297f7
[dist]7.4.600c425e
[안전] 복구 재작업 빈틈990306d
[lint]더 예쁜 오류 복구32e3a84
[안전] 노드 안전 항목8c914d1
[부차적] 고정 NITfc7e27d
[ci] 테스트587c201
[ci]노드 15f672710
[dist]7.4.567e25ff
[복구] 복구abortHandshake()
연결이 꺼지지 않은 경우23ba6b2
[복구] UTF-8-validate이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석
@dependabot rebase
을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
[보안 경고 페이지]에서 재구매 계약의 자동 보안 수정 PRs를 비활성화할 수 있습니다(https://github.com/tdreyno/pretty-please/network/alerts).
토론 #1
: 타다: 이 PR은 버전 1.16.0에 포함되어 있습니다. 타다:이 버전은 다음 웹 사이트에서 사용할 수 있습니다.
- npm package (@latest dist-tag)
- GitHub release
당신의 semantic-release 로봇: 소프트웨어 패키지: 로켓:
Reference
이 문제에 관하여(구축(deps): ws를 7.4.2에서 7.4.6으로 업그레이드), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://github.com/tdreyno/pretty-please/issues/584텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)