[안전] 4.1.2에서 4.7.2로 손잡이 늘리기

묘사

4.1.2에서 4.7.2까지의 충돌handlebars.이 업데이트에는 보안 복구 프로그램이 포함되어 있습니다.
취약점 복구
출처The GitHub Security Advisory Database.

High severity vulnerability that affects handlebars Versions of handlebars prior to 4.3.0 are vulnerable to Prototype Pollution leading to Remote Code Execution. Templates may alter an Object's proto and defineGetter properties, which may allow an attacker to execute arbitrary code through crafted payloads.

Affected versions: < 4.3.0

변경 로그
출처handlebars's changelog.

v4。7.2~2020년 1월 13일

Bugfixes:

• fix: don't wrap helpers that are not functions - 9d5aa36, #1639

Chore/Build:

• chore: execute saucelabs-task only if access-key exists - a4fd391

Compatibility notes:

• No breaking changes are to be expected

Commits

v4。7.1~2020년 1월 12일

Bugfixes:

• fix: fix log output in case of illegal property access - f152dfc
• fix: log error for illegal property access only once per property - 3c1e252

Compatibility notes:

• no incompatibilities are to be expected.

Commits

v4。7.0-2020년 1월 10일

Features:

• feat: default options for controlling proto access - 7af1c12, #1635
  • This makes it possible to disable the prototype access restrictions added in 4.6.0
  • an error is logged in the console, if access to prototype properties is attempted and denied and no explicit configuration has taken place.

Compatibility notes:

• no compatibilities are expected

Commits

v4。6.0-2020년 1월 8일

Features:

• feat: access control to prototype properties via whitelist (#1633)- d03b6ec

... (truncated)

언약

586e672 v4.7.2

f0c6c4c 업데이트 릴리즈 노트

a4fd391 자질구레한 일: 접근 키

가 존재할 때만 saucelabs 작업을 수행합니다

9d5aa36 복구: 함수가 아닌 도움말 프로그램을 포장하지 마세요

14ba3d0 v4.7.1

4cddfe7 업데이트 릴리즈 노트

f152dfc 복구: 불법 재산 방문 복구 시 로그 출력

3c1e252 복구: 속성마다 불법 속성에 한 번만 접근하는 로그 오류

0d5c807 v4.7.0

1f0834b 업데이트 릴리즈 노트

compare view

에서 볼 수 있는 추가 제출

이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석@dependabot rebase을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.
신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@corderiot use this assignees"는 현재 소유자를 재구매 프로토콜과 언어의 미래 PRs에 대한 기본값으로 설정합니다.
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
- "@Relateot badge me"는 자술한 파일에 "Relateot enabled"배지를 추가할 수 있도록 코드로 이 홍보에 대해 설명합니다.
또한 Correlot[대시보드]에서 다음을 설정할 수도 있습니다(https://app.dependabot.com):
- 업데이트 빈도(하루 중 시간과 일주일 중 날짜 포함)
- 끌어오기 요청 제한(업데이트가 실행될 때마다/또는 언제든지 열려 있음)
- 범위 밖의 업데이트(필요한 경우 잠금 파일 업데이트만 수신)
- 보안 업데이트(필요한 경우 보안 업데이트만 수신)

토론 #1

가 #98로 대체되었습니다.