Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

update mailgun dependecy to fix "Regular Expression Denial of Service" #588

Closed
tomfun opened this issue Nov 4, 2017 · 4 comments
Closed

update mailgun dependecy to fix "Regular Expression Denial of Service" #588

tomfun opened this issue Nov 4, 2017 · 4 comments
Assignees
@ramicohen303

Comments

@tomfun
Copy link

tomfun commented Nov 4, 2017

My project has nsp auto-checker in the ci, it says there is a known vulnerability. it can be fixed if you update mailgun dependency.

nsp log:

┌───────────────┬─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                                                                                                                │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ timespan                                                                                                                                                                                                            │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 3.7 (Low)                                                                                                                                                                                                           │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 2.3.0                                                                                                                                                                                                               │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ All                                                                                                                                                                                                                 │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ None                                                                                                                                                                                                                │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ google-contacts@1.0.0 > log4js@2.3.11 > loggly@1.1.1 > timespan@2.3.0                                                                                                                                               │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/533                                                                                                                                                                              │
└───────────────┴─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                                                                                                                │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ debug                                                                                                                                                                                                               │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 3.7 (Low)                                                                                                                                                                                                           │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 2.2.0                                                                                                                                                                                                               │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <= 2.6.8 || >= 3.0.0 <= 3.0.1                                                                                                                                                                                       │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                                                                                                                                                                        │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ google-contacts@1.0.0 > log4js@2.3.11 > mailgun-js@0.7.15 > debug@2.2.0                                                                                                                                             │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/534
@ramicohen303 ramicohen303 self-assigned this Nov 4, 2017
@ramicohen303
Copy link
Contributor

Looks like 2 issues, one in mailgun and the other in timespan, but timespan is not patched yet.

timespan hasn't been updated in 4 years, and is a dependency of loggly, which hasn't been updated for a year. We need to check if log4js dependency on loggly could be removed or replaced with another library.

I will work on the mailgun update, and will investigate the loggly replacement as well.

@tomfun
Copy link
Author

tomfun commented Nov 5, 2017

Loggly has already issue

@ramicohen303
Copy link
Contributor

Looks like loggly has a library they actively support, we need to start using it in log4js instead of the current one.

@nomiddlename nomiddlename mentioned this issue Nov 9, 2017
Closed
@ramicohen303
Copy link
Contributor

Upon further review, this will require separating the mailgun appender into a separate project. #597 was opened for the work, closing this issue.

@nomiddlename nomiddlename mentioned this issue Nov 14, 2017
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@ramicohen303 ramicohen303

Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@tomfun @ramicohen303