Security Issues

[SureshVarmaD]

Issue

OSRM using the following packages:

y18n
semver approval
hosted-git-info
minimatch

Having the white-source security issues. Is it possible to update them in the next release ??

[mjjbell]

Can you share a link to these findings?
Is this from the output of npm audit?

[mvl22]

We are seeing Dependabot alerts for semver and tar dependencies:

yarn audit
yarn audit v1.22.22
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @project-osrm/osrm                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @project-osrm/osrm > @mapbox/node-pre-gyp > semver           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1096482                     │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Denial of service while parsing a tar file due to lack of    │
│               │ folders count validation                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tar                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.2.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @project-osrm/osrm                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @project-osrm/osrm > @mapbox/node-pre-gyp > tar              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1097493                     │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.7.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @project-osrm/osrm                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @project-osrm/osrm > node-cmake > yargs > read-pkg-up >      │
│               │ read-pkg > normalize-package-data > semver                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1096483                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @project-osrm/osrm                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @project-osrm/osrm > @mapbox/node-pre-gyp > make-dir >       │
│               │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1096484                     │
└───────────────┴──────────────────────────────────────────────────────────────┘

[DennisOSRM]

Dependabot is clean now.