We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
String.test
私が公開している当プロダクトに、脆弱性が報告されていることに気づきました。 差し当たり、本件は既にパブリックな場所で公開されている状態のため、私もここで、公開することとします。
脆弱性の内容は、正規表現を利用したDoS攻撃に対する問題(ReDoS)です。
問題の原因箇所は、依存ライブラリの中にあります。
一方で、私が作った部分では、問題を引き起こす可能性のある方法で、上記問題の見つかった機能を利用していることを確認しました。 /index.js#L81
2020/07/18 時点で、まだ決定していません。 候補としては
それぞれメリット/デメリットあります。
引き続き対応予定です。
The text was updated successfully, but these errors were encountered:
依存ライブラリ側での対応状況をまとめます。
私の個人的理解では、今の所、以下の感じです。
url-regex => 1年以上、コミットがない。開発が停滞もしくは中止されている可能性がある。issueでは議論が続いているが、メイン開発者は、本件に過去80日間反応していない。
metascraper-helper => 24日前に、issueが立った。メイン開発者(と思われる)は、次の理由で即座にClose。内容は「url-regexの問題なので、そちらで議論してほしい」
Sorry, something went wrong.
solution 対応方針 -> metascraper を使わない で対処しました。at #7
isnot
Successfully merging a pull request may close this issue.
disclosure
String.test
will never finish kevva/url-regex#70description (ja)
私が公開している当プロダクトに、脆弱性が報告されていることに気づきました。
差し当たり、本件は既にパブリックな場所で公開されている状態のため、私もここで、公開することとします。
脆弱性の内容は、正規表現を利用したDoS攻撃に対する問題(ReDoS)です。
問題の原因箇所は、依存ライブラリの中にあります。
一方で、私が作った部分では、問題を引き起こす可能性のある方法で、上記問題の見つかった機能を利用していることを確認しました。 /index.js#L81
solution 対応方針
2020/07/18 時点で、まだ決定していません。
候補としては
それぞれメリット/デメリットあります。
引き続き対応予定です。
The text was updated successfully, but these errors were encountered: