Доступно ли какое-либо исправление для уязвимости Dicer с администратором Firebase?
Я пытаюсь развернуть свое приложение Firebase, используя действия GitHub. Я запускаю следующие команды для того же:
- установка нпм
- исправление аудита npm
- npm установить firebase-tools@10.9.2
Он работал отлично до 10 дней назад, и вдруг я получаю следующую проблему:
Crash in HeaderParser in dicer - https://github.com/advisories/GHSA-wm7h-9275-46v2
fix available via `npm audit fix --force`
Will install firebase-admin@7.0.0, which is a breaking change
node_modules/dicer
firebase-admin >=7.1.0
Depends on vulnerable versions of dicer
node_modules/firebase-admin
firebase-functions >=3.0.0
Depends on vulnerable versions of firebase-admin
node_modules/firebase-functions
Я видел, что с Dicer возникают проблемы, но, поскольку это зависит от firebase-admin, пропустить это невозможно. Я хочу выполнить срочное производственное развертывание — как я могу удалить этот блокировщик?
1 ответ
Проблема должна быть решена командой, поддерживающей SDK. При этом, несмотря на то, что он указан как высокий уровень серьезности, вариант использования дайсера в SDK делает профиль риска низким, если только вы не используете дайсер в своем собственном коде:
Вот соответствующая проблема на GitHub. Он из сопровождающих объясняет проблему следующим образом:
Пакет SDK Admin Node.js использует dicer для анализа составных ответов от внутренних серверов Firebase и GCP. IIUC угроза, связанная с уязвимостью в dicer, здесь довольно низка, поскольку мы можем доверять ответам от серверов BE. Однако если вы используете пакет dicer для разбора ответов в собственном коде, вы можете подвергаться более высокому риску. Сказав это, мы изучаем исправления, упомянутые в #1512, и возможность использования исправленной версии dicer в Admin SDK. Я буду использовать эту проблему, чтобы обновить прогресс.