[VULNERABILITY] There is a VULNERABILITY on depending package url-regex.

[isnot]

disclosure

• https://snyk.io/test/npm/hexo-tag-google-photos-album/1.1.2
• [VULNERABILITY] Parsing a long String will result in 100% CPU usage and String.test will never finish kevva/url-regex#70
• [metascraper-helpers] Denial of Service microlinkhq/metascraper#281
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7661

description (ja)

私が公開している当プロダクトに、脆弱性が報告されていることに気づきました。
差し当たり、本件は既にパブリックな場所で公開されている状態のため、私もここで、公開することとします。

脆弱性の内容は、正規表現を利用したDoS攻撃に対する問題（ReDoS）です。

問題の原因箇所は、依存ライブラリの中にあります。

• hexo-tag-google-photos-album
  • metascraper
    • metascraper-helper
      • url-regex

一方で、私が作った部分では、問題を引き起こす可能性のある方法で、上記問題の見つかった機能を利用していることを確認しました。 /index.js#L81

solution 対応方針

2020/07/18 時点で、まだ決定していません。
候補としては

• metascraperに渡す前に、パラメーター（url）を独自にチェックする
• metascraper を使わない
• url-regexが修正され、その修正されたバージョンを使ったmetascraper-helperが公開されるのを待つ

それぞれメリット/デメリットあります。

引き続き対応予定です。

[isnot]

依存ライブラリ側での対応状況をまとめます。

私の個人的理解では、今の所、以下の感じです。

url-regex => 1年以上、コミットがない。開発が停滞もしくは中止されている可能性がある。issueでは議論が続いているが、メイン開発者は、本件に過去80日間反応していない。

metascraper-helper => 24日前に、issueが立った。メイン開発者（と思われる）は、次の理由で即座にClose。内容は「url-regexの問題なので、そちらで議論してほしい」

[isnot]

solution 対応方針 -> metascraper を使わない
で対処しました。at #7