Skip to content
This repository has been archived by the owner on Dec 11, 2019. It is now read-only.

npm run check-security fails (Large gzip Denial of Service) #11168

Closed
ooby opened this issue Sep 27, 2017 · 7 comments
Closed

npm run check-security fails (Large gzip Denial of Service) #11168

ooby opened this issue Sep 27, 2017 · 7 comments
Labels
dev-setup QA/checked-Linux QA/checked-macOS QA/checked-Win64 QA/test-plan-specified release-notes/exclude security
Milestone
0.19.x (Beta Chan...

Comments

@ooby
Copy link

ooby commented Sep 27, 2017

Description

npm run check-security fails

Steps to Reproduce

  1. run npm run check-security

Actual result:

$ npm run check-security

> brave@0.21.0 check-security C:\dev\browser-laptop
> nsp check

(+) 1 vulnerabilities found
┌───────────────┬─────────────────────────────────────────────────────────────────┐
│               │ Large gzip Denial of Service                                    │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ Name          │ superagent                                                      │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ CVSS          │ 3.7 (Low)                                                       │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ Installed     │ 3.5.2                                                           │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ All                                                             │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ Patched       │ None                                                            │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > ledger-client@0.9.21 > bitgo@3.5.1 > superagent… │
├───────────────┼─────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/479                          │
└───────────────┴─────────────────────────────────────────────────────────────────┘

npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! brave@0.21.0 check-security: `nsp check`
npm ERR! Exit status 1
npm ERR!
npm ERR! Failed at the brave@0.21.0 check-security script.
npm ERR! This is probably not a problem with npm. There is likely additional logging output above.

Expected result:
success

Reproduces how often: [What percentage of the time does it reproduce?]
100%

Brave Version

0.21.0

Additional information

Vulnerability opened 27th Sep. 2017
@zephinzer
Copy link

same here

@bsclifton
Copy link
Member

Thanks for the report! Comment from @evq:

I don't think we're affected by this - an attacker would need to control the URL we're requesting. I don't think we're making use of the prefetch / remote capabilities of bloodhound in the browser. For ledger-client, the urls requested are always bitgo urls - so an attacker cannot control them.

I'll get a patch up soon

@bsclifton bsclifton changed the title npm run check-security fails npm run check-security fails (Large gzip Denial of Service) Sep 27, 2017
@bsclifton bsclifton added this to the 0.19.x (Beta Channel) milestone Sep 27, 2017
@bsclifton bsclifton mentioned this issue Sep 27, 2017
Merged
8 tasks
@bsclifton
Copy link
Member

Looks like there's a few more ☹️ Stay tuned

This was referenced Sep 28, 2017
Closed
Closed
Closed
Closed
@LaurenWags
Copy link
Member

@bsclifton based on #11168 (comment) does that mean this isn't ready for testing?

@kjozwiak
Copy link
Member

kjozwiak commented Sep 28, 2017
edited
Loading

@bsclifton based on #11168 (comment) does that mean this isn't ready for testing?

It looks like all the issues have been resolved on the 0.19.x branch:

Kamils-MBP:browser-laptop kjozwiak$ git branch
* 0.19.x

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> brave@0.19.23 check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

However, it appears there's still a few issues being listed under the master branch:

Kamils-MBP:browser-laptop kjozwiak$ git branch
* master

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
brave@0.21.0 check-security /Users/kjozwiak/projects/browser-laptop
nsp check

(+) 6 vulnerabilities found
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ mime                                                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > ledger-client@0.9.21 > bitgo@3.5.1 > express@4.15.5 > send@0.15.6 > mime@1.3.4                                     │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ mime                                                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > ledger-client@0.9.21 > bitgo@3.5.1 > superagent@3.5.2 > mime@1.3.4                                                 │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ mime                                                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > url-loader@0.5.9 > mime@1.3.4                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ mime                                                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > webtorrent-remote@2.0.2 > webtorrent@0.98.19 > mime@1.3.4                                                          │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ debug                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 3.7 (Low)                                                                                                                         │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 2.2.0                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <= 2.6.8 || >= 3.0.0 <= 3.0.1                                                                                                     │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > ledger-client@0.9.21 > bitgo@3.5.1 > morgan@1.5.3 > debug@2.2.0                                                    │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/534                                                                                            │
└───────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ debug                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 3.7 (Low)                                                                                                                         │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 2.6.7                                                                                                                             │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <= 2.6.8 || >= 3.0.0 <= 3.0.1                                                                                                     │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                                                                                      │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ brave@0.21.0 > ledger-client@0.9.21 > bitgo@3.5.1 > body-parser@1.17.2 > debug@2.6.7                                              │
├───────────────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/534                                                                                            │
└───────────────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘

npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! brave@0.21.0 check-security: `nsp check`
npm ERR! Exit status 1
npm ERR!
npm ERR! Failed at the brave@0.21.0 check-security script.
npm ERR! This is probably not a problem with npm. There is likely additional logging output above.

We should wait till all of the above issues are also fixed before going through testing.

@kjozwiak kjozwiak reopened this Sep 28, 2017
@bsclifton
Copy link
Member

bsclifton commented Sep 28, 2017
edited
Loading

This has now been fixed 😄
0.19.x 8ae5a2f (includes discussion)
0.20.x 28e1ea2
master c5a903c

cc: @LaurenWags @kjozwiak

@kjozwiak
Copy link
Member

Used git log and ensured the above commits where inside the appropriate branches before running npm run check-security.

master branch - PASSED (didn't find any new vulnerabilities)

Kamils-MBP:browser-laptop kjozwiak$ git branch
* master

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> brave@0.21.0 check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

0.20.x branch - PASSED (didn't find any new vulnerabilities)

Kamils-MBP:browser-laptop kjozwiak$ git branch
* 0.20.x

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> brave@0.20.0 check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

0.19.x branch - PASSED (didn't find any new vulnerabilities)

Kamils-MBP:browser-laptop kjozwiak$ git branch
* 0.19.x

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> brave@0.19.23 check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

@srirambv srirambv mentioned this issue Oct 9, 2017
Closed
syuan100 pushed a commit to syuan100/browser-laptop that referenced this issue Nov 9, 2017
@bsclifton @syuan100
Supress node security alert
dc5185a 
Fixes brave#11168

Auditors: @darkdh, @diracdeltas

Test Plan:
1. `rm -rf node_modules && npm install`
2. `npm run check-security`
Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Assignees
No one assigned
Labels
dev-setup QA/checked-Linux QA/checked-macOS QA/checked-Win64 QA/test-plan-specified release-notes/exclude security
Projects
None yet
Milestone
0.19.x (Beta Channel)
Development

No branches or pull requests
6 participants
@ooby @kjozwiak @luixxiul @bsclifton @zephinzer @LaurenWags