Browser-laptop: npm run check-security fails (Large gzip Denial of Service)

Created on 27 Sep 2017  Â·  7Comments  Â·  Source: brave/browser-laptop

Description

npm run check-security fails

Steps to Reproduce

  1. run npm run check-security

Actual result:

$ npm run check-security

> [email protected] check-security C:\dev\browser-laptop
> nsp check

(+) 1 vulnerabilities found
┌───────────────┬─────────────────────────────────────────────────────────────────┐
│               │ Large gzip Denial of Service                                    │
├───────────────┌──────────────────────────────────────────────────────────────────
│ Name          │ superagent                                                      │
├───────────────┌──────────────────────────────────────────────────────────────────
│ CVSS          │ 3.7 (Low)                                                       │
├───────────────┌──────────────────────────────────────────────────────────────────
│ Installed     │ 3.5.2                                                           │
├───────────────┌──────────────────────────────────────────────────────────────────
│ Vulnerable    │ All                                                             │
├───────────────┌──────────────────────────────────────────────────────────────────
│ Patched       │ None                                                            │
├───────────────┌──────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected] > superagent
 │
├───────────────┌──────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/479                          │
└───────────────┮─────────────────────────────────────────────────────────────────┘

npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! [email protected] check-security: `nsp check`
npm ERR! Exit status 1
npm ERR!
npm ERR! Failed at the [email protected] check-security script.
npm ERR! This is probably not a problem with npm. There is likely additional logging output above.

Expected result:
success

Reproduces how often: [What percentage of the time does it reproduce?]
100%

Brave Version

0.21.0

Additional information

Vulnerability opened 27th Sep. 2017

Qchecked-Linux Qchecked-Win64 Qchecked-macOS Qtest-plan-specified dev-setup release-noteexclude security
Source
picture ooby
👍2

Most helpful comment

same here

picture zephinzer on 27 Sep 2017
👍2

All 7 comments

same here

zephinzer picture zephinzer on 27 Sep 2017
👍2

Thanks for the report! Comment from @evq:

I don't think we're affected by this - an attacker would need to control the URL we're requesting. I don't think we're making use of the prefetch / remote capabilities of bloodhound in the browser. For ledger-client, the urls requested are always bitgo urls - so an attacker cannot control them.

I'll get a patch up soon

bsclifton picture bsclifton on 27 Sep 2017

Looks like there's a few more ☹ Stay tuned

bsclifton picture bsclifton on 28 Sep 2017

@bsclifton based on https://github.com/brave/browser-laptop/issues/11168#issuecomment-332745318 does that mean this isn't ready for testing?

LaurenWags picture LaurenWags on 28 Sep 2017

@bsclifton based on #11168 (comment) does that mean this isn't ready for testing?

It looks like all the issues have been resolved on the 0.19.x branch:

Kamils-MBP:browser-laptop kjozwiak$ git branch
* 0.19.x

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> [email protected] check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

However, it appears there's still a few issues being listed under the master branch:

Kamils-MBP:browser-laptop kjozwiak$ git branch
* master

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
[email protected] check-security /Users/kjozwiak/projects/browser-laptop
nsp check

(+) 6 vulnerabilities found
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Name          │ mime                                                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected]                                     │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┮───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Name          │ mime                                                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected] > [email protected] > [email protected]                                                 │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┮───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Name          │ mime                                                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected]                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┮───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Name          │ mime                                                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ CVSS          │ 7.5 (High)                                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Installed     │ 1.3.4                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3                                                                                                        │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3                                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected] > [email protected]                                                          │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/535                                                                                            │
└───────────────┮───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Name          │ debug                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ CVSS          │ 3.7 (Low)                                                                                                                         │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Installed     │ 2.2.0                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Vulnerable    │ <= 2.6.8 || >= 3.0.0 <= 3.0.1                                                                                                     │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Patched       │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected] > [email protected] > [email protected]                                                    │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/534                                                                                            │
└───────────────┮───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Name          │ debug                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ CVSS          │ 3.7 (Low)                                                                                                                         │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Installed     │ 2.6.7                                                                                                                             │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Vulnerable    │ <= 2.6.8 || >= 3.0.0 <= 3.0.1                                                                                                     │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Patched       │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                                                                                      │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ Path          │ [email protected] > [email protected] > [email protected] > [email protected] > [email protected]                                              │
├───────────────┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
│ More Info     │ https://nodesecurity.io/advisories/534                                                                                            │
└───────────────┮───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘

npm ERR! code ELIFECYCLE
npm ERR! errno 1
npm ERR! [email protected] check-security: `nsp check`
npm ERR! Exit status 1
npm ERR!
npm ERR! Failed at the [email protected] check-security script.
npm ERR! This is probably not a problem with npm. There is likely additional logging output above.

We should wait till all of the above issues are also fixed before going through testing.

kjozwiak picture kjozwiak on 28 Sep 2017

This has now been fixed 😄
0.19.x https://github.com/brave/browser-laptop/commit/8ae5a2f6730e8ca39f4b13f0dd13f41510a689da (includes discussion)
0.20.x https://github.com/brave/browser-laptop/commit/28e1ea2d7ab5ccf1403edab141567fc6c150c111
master https://github.com/brave/browser-laptop/commit/c5a903cc2672577a41fdf8ad070aec245ecaa367

cc: @LaurenWags @kjozwiak

bsclifton picture bsclifton on 28 Sep 2017
👍1

Used git log and ensured the above commits where inside the appropriate branches before running npm run check-security.

master branch - PASSED (didn't find any new vulnerabilities)

Kamils-MBP:browser-laptop kjozwiak$ git branch
* master

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> [email protected] check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

0.20.x branch - PASSED (didn't find any new vulnerabilities)

Kamils-MBP:browser-laptop kjozwiak$ git branch
* 0.20.x

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> [email protected] check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found

0.19.x branch - PASSED (didn't find any new vulnerabilities)

Kamils-MBP:browser-laptop kjozwiak$ git branch
* 0.19.x

Kamils-MBP:browser-laptop kjozwiak$ npm run check-security
> [email protected] check-security /Users/kjozwiak/projects/browser-laptop
> nsp check
(+) No known vulnerabilities found
kjozwiak picture kjozwiak on 28 Sep 2017
Was this page helpful?
0 / 5 - 0 ratings

Related issues

bbondy picture bbondy  Â·  3Comments
bbondy picture bbondy  Â·  3Comments
eljuno picture eljuno  Â·  3Comments
briannyeko picture briannyeko  Â·  3Comments
jonathansampson picture jonathansampson  Â·  3Comments