Skip to content

Commit

Permalink
edgehub-proxy update RUSTSEC deps (#5003)
Browse files Browse the repository at this point in the history 
Update deps that have RUSTSEC errors

<details>
<summary> Cargo Audit </summary>

```
robertbaldwin@MacBook-Pro edgehub-proxy % cargo audit
    Fetching advisory database from `https://github.com/RustSec/advisory-db.git`
      Loaded 302 security advisories (from /Users/robertbaldwin/.cargo/advisory-db)
    Updating crates.io index
    Scanning Cargo.lock for vulnerabilities (180 crate dependencies)
Crate:         generic-array
Version:       0.9.0
Title:         arr! macro erases lifetimes
Date:          2020-04-09
ID:            RUSTSEC-2020-0146
URL:           https://rustsec.org/advisories/RUSTSEC-2020-0146
Solution:      Upgrade to >=0.8.4, <0.9.0 OR >=0.9.1, <0.10.0 OR >=0.10.1, <0.11.0 OR >=0.11.2, <0.12.0 OR >=0.12.4, <0.13.0 OR >=0.13.3
Dependency tree:
generic-array 0.9.0
├── digest 0.7.6
│   ├── sha2 0.7.1
│   │   └── edgelet-core 0.1.0
│   │       └── edgelet-http 0.1.0
│   │           └── edgehub-proxy 0.1.0
│   └── hmac 0.5.0
│       └── edgelet-core 0.1.0
└── crypto-mac 0.5.2
    └── hmac 0.5.0

Crate:         http
Version:       0.1.13
Title:         HeaderMap::Drain API is unsound
Date:          2019-11-16
ID:            RUSTSEC-2019-0034
URL:           https://rustsec.org/advisories/RUSTSEC-2019-0034
Solution:      Upgrade to >=0.1.20
Dependency tree:
http 0.1.13
├── typed-headers 0.1.0
│   ├── workload 0.1.0
│   │   └── edgehub-proxy 0.1.0
│   ├── hyper-proxy 0.5.0
│   │   └── edgelet-http 0.1.0
│   │       └── edgehub-proxy 0.1.0
│   └── edgelet-http 0.1.0
├── hyper-proxy 0.5.0
├── hyper 0.12.14
│   ├── workload 0.1.0
│   ├── hyperlocal-windows 0.1.0
│   ├── hyperlocal 0.6.0
│   │   └── edgelet-http 0.1.0
│   ├── hyper-tls 0.3.1
│   │   ├── hyper-proxy 0.5.0
│   │   └── edgelet-http 0.1.0
│   ├── hyper-proxy 0.5.0
│   ├── hyper-named-pipe 0.1.0
│   │   └── edgelet-http 0.1.0
│   ├── edgelet-http 0.1.0
│   └── edgehub-proxy 0.1.0
└── h2 0.1.13
    └── hyper 0.12.14

Crate:         http
Version:       0.1.13
Title:         Integer Overflow in HeaderMap::reserve() can cause Denial of Service
Date:          2019-11-16
ID:            RUSTSEC-2019-0033
URL:           https://rustsec.org/advisories/RUSTSEC-2019-0033
Solution:      Upgrade to >=0.1.20

Crate:         hyper
Version:       0.12.14
Title:         Flaw in hyper allows request smuggling by sending a body in GET requests
Date:          2020-03-19
ID:            RUSTSEC-2020-0008
URL:           https://rustsec.org/advisories/RUSTSEC-2020-0008
Solution:      Upgrade to >=0.12.34
Dependency tree:
hyper 0.12.14
├── workload 0.1.0
│   └── edgehub-proxy 0.1.0
├── hyperlocal-windows 0.1.0
├── hyperlocal 0.6.0
│   └── edgelet-http 0.1.0
│       └── edgehub-proxy 0.1.0
├── hyper-tls 0.3.1
│   ├── hyper-proxy 0.5.0
│   │   └── edgelet-http 0.1.0
│   └── edgelet-http 0.1.0
├── hyper-proxy 0.5.0
├── hyper-named-pipe 0.1.0
│   └── edgelet-http 0.1.0
├── edgelet-http 0.1.0
└── edgehub-proxy 0.1.0

Crate:         hyper
Version:       0.12.14
Title:         Multiple Transfer-Encoding headers misinterprets request payload
Date:          2021-02-05
ID:            RUSTSEC-2021-0020
URL:           https://rustsec.org/advisories/RUSTSEC-2021-0020
Solution:      Upgrade to >=0.14.3 OR >=0.13.10, <0.14.0 OR >=0.12.36, <0.13.0

Crate:         serde_yaml
Version:       0.7.5
Title:         Uncontrolled recursion leads to abort in deserialization
Date:          2018-09-17
ID:            RUSTSEC-2018-0005
URL:           https://rustsec.org/advisories/RUSTSEC-2018-0005
Solution:      Upgrade to >=0.8.4
Dependency tree:
serde_yaml 0.7.5
└── workload 0.1.0
    └── edgehub-proxy 0.1.0

Crate:         smallvec
Version:       0.6.5
Title:         Buffer overflow in SmallVec::insert_many
Date:          2021-01-08
ID:            RUSTSEC-2021-0003
URL:           https://rustsec.org/advisories/RUSTSEC-2021-0003
Solution:      Upgrade to >=0.6.14, <1.0.0 OR >=1.6.1
Dependency tree:
smallvec 0.6.5
└── parking_lot_core 0.3.1
    └── parking_lot 0.6.4
        └── tokio-reactor 0.1.6
            ├── tokio-uds-windows 0.1.0
            ├── tokio-uds 0.2.3
            │   ├── tokio 0.1.11
            │   │   ├── tokio-named-pipe 0.1.0
            │   │   │   ├── hyper-named-pipe 0.1.0
            │   │   │   │   └── edgelet-http 0.1.0
            │   │   │   │       └── edgehub-proxy 0.1.0
            │   │   │   └── edgelet-http 0.1.0
            │   │   ├── hyperlocal-windows 0.1.0
            │   │   ├── hyperlocal 0.6.0
            │   │   │   └── edgelet-http 0.1.0
            │   │   ├── hyper 0.12.14
            │   │   │   ├── workload 0.1.0
            │   │   │   │   └── edgehub-proxy 0.1.0
            │   │   │   ├── hyperlocal-windows 0.1.0
            │   │   │   ├── hyperlocal 0.6.0
            │   │   │   ├── hyper-tls 0.3.1
            │   │   │   │   ├── hyper-proxy 0.5.0
            │   │   │   │   │   └── edgelet-http 0.1.0
            │   │   │   │   └── edgelet-http 0.1.0
            │   │   │   ├── hyper-proxy 0.5.0
            │   │   │   ├── hyper-named-pipe 0.1.0
            │   │   │   ├── edgelet-http 0.1.0
            │   │   │   └── edgehub-proxy 0.1.0
            │   │   ├── edgelet-http 0.1.0
            │   │   ├── edgelet-core 0.1.0
            │   │   │   └── edgelet-http 0.1.0
            │   │   └── edgehub-proxy 0.1.0
            │   ├── hyperlocal 0.6.0
            │   └── edgelet-http 0.1.0
            ├── tokio-udp 0.1.2
            │   └── tokio 0.1.11
            ├── tokio-tcp 0.1.2
            │   ├── tokio 0.1.11
            │   └── hyper 0.12.14
            ├── tokio 0.1.11
            └── hyper 0.12.14

Crate:         smallvec
Version:       0.6.5
Title:         Double-free and use-after-free in SmallVec::grow()
Date:          2019-06-06
ID:            RUSTSEC-2019-0009
URL:           https://rustsec.org/advisories/RUSTSEC-2019-0009
Solution:      Upgrade to >=0.6.10

Crate:         smallvec
Version:       0.6.5
Title:         Memory corruption in SmallVec::grow()
Date:          2019-07-19
ID:            RUSTSEC-2019-0012
URL:           https://rustsec.org/advisories/RUSTSEC-2019-0012
Solution:      Upgrade to >=0.6.10

Crate:         failure
Version:       0.1.3
Warning:       unmaintained
Title:         failure is officially deprecated/unmaintained
Date:          2020-05-02
ID:            RUSTSEC-2020-0036
URL:           https://rustsec.org/advisories/RUSTSEC-2020-0036
Dependency tree:
failure 0.1.3
├── workload 0.1.0
│   └── edgehub-proxy 0.1.0
├── systemd 0.1.0
│   └── edgelet-http 0.1.0
│       └── edgehub-proxy 0.1.0
├── hyper-named-pipe 0.1.0
│   └── edgelet-http 0.1.0
├── edgelet-utils 0.1.0
│   ├── hyper-named-pipe 0.1.0
│   ├── edgelet-http 0.1.0
│   ├── edgelet-core 0.1.0
│   │   └── edgelet-http 0.1.0
│   └── edgehub-proxy 0.1.0
├── edgelet-http 0.1.0
├── edgelet-core 0.1.0
└── edgehub-proxy 0.1.0

Crate:         net2
Version:       0.2.33
Warning:       unmaintained
Title:         `net2` crate has been deprecated; use `socket2` instead
Date:          2020-05-01
ID:            RUSTSEC-2020-0016
URL:           https://rustsec.org/advisories/RUSTSEC-2020-0016
Dependency tree:
net2 0.2.33
├── miow 0.2.1
│   ├── mio-uds-windows 0.1.0
│   └── mio 0.6.16
│       ├── tokio-uds-windows 0.1.0
│       ├── tokio-uds 0.2.3
│       │   ├── tokio 0.1.11
│       │   │   ├── tokio-named-pipe 0.1.0
│       │   │   │   ├── hyper-named-pipe 0.1.0
│       │   │   │   │   └── edgelet-http 0.1.0
│       │   │   │   │       └── edgehub-proxy 0.1.0
│       │   │   │   └── edgelet-http 0.1.0
│       │   │   ├── hyperlocal-windows 0.1.0
│       │   │   ├── hyperlocal 0.6.0
│       │   │   │   └── edgelet-http 0.1.0
│       │   │   ├── hyper 0.12.14
│       │   │   │   ├── workload 0.1.0
│       │   │   │   │   └── edgehub-proxy 0.1.0
│       │   │   │   ├── hyperlocal-windows 0.1.0
│       │   │   │   ├── hyperlocal 0.6.0
│       │   │   │   ├── hyper-tls 0.3.1
│       │   │   │   │   ├── hyper-proxy 0.5.0
│       │   │   │   │   │   └── edgelet-http 0.1.0
│       │   │   │   │   └── edgelet-http 0.1.0
│       │   │   │   ├── hyper-proxy 0.5.0
│       │   │   │   ├── hyper-named-pipe 0.1.0
│       │   │   │   ├── edgelet-http 0.1.0
│       │   │   │   └── edgehub-proxy 0.1.0
│       │   │   ├── edgelet-http 0.1.0
│       │   │   ├── edgelet-core 0.1.0
│       │   │   │   └── edgelet-http 0.1.0
│       │   │   └── edgehub-proxy 0.1.0
│       │   ├── hyperlocal 0.6.0
│       │   └── edgelet-http 0.1.0
│       ├── tokio-udp 0.1.2
│       │   └── tokio 0.1.11
│       ├── tokio-tcp 0.1.2
│       │   ├── tokio 0.1.11
│       │   └── hyper 0.12.14
│       ├── tokio-reactor 0.1.6
│       │   ├── tokio-uds-windows 0.1.0
│       │   ├── tokio-uds 0.2.3
│       │   ├── tokio-udp 0.1.2
│       │   ├── tokio-tcp 0.1.2
│       │   ├── tokio 0.1.11
│       │   └── hyper 0.12.14
│       ├── tokio 0.1.11
│       ├── mio-uds-windows 0.1.0
│       ├── mio-uds 0.6.7
│       │   └── tokio-uds 0.2.3
│       └── mio-named-pipes 0.1.6
│           └── tokio-named-pipe 0.1.0
├── mio 0.6.16
└── hyper 0.12.14

Crate:         miow
Version:       0.2.1
Warning:       yanked
Dependency tree:
miow 0.2.1
├── mio-uds-windows 0.1.0
└── mio 0.6.16
    ├── tokio-uds-windows 0.1.0
    ├── tokio-uds 0.2.3
    │   ├── tokio 0.1.11
    │   │   ├── tokio-named-pipe 0.1.0
    │   │   │   ├── hyper-named-pipe 0.1.0
    │   │   │   │   └── edgelet-http 0.1.0
    │   │   │   │       └── edgehub-proxy 0.1.0
    │   │   │   └── edgelet-http 0.1.0
    │   │   ├── hyperlocal-windows 0.1.0
    │   │   ├── hyperlocal 0.6.0
    │   │   │   └── edgelet-http 0.1.0
    │   │   ├── hyper 0.12.14
    │   │   │   ├── workload 0.1.0
    │   │   │   │   └── edgehub-proxy 0.1.0
    │   │   │   ├── hyperlocal-windows 0.1.0
    │   │   │   ├── hyperlocal 0.6.0
    │   │   │   ├── hyper-tls 0.3.1
    │   │   │   │   ├── hyper-proxy 0.5.0
    │   │   │   │   │   └── edgelet-http 0.1.0
    │   │   │   │   └── edgelet-http 0.1.0
    │   │   │   ├── hyper-proxy 0.5.0
    │   │   │   ├── hyper-named-pipe 0.1.0
    │   │   │   ├── edgelet-http 0.1.0
    │   │   │   └── edgehub-proxy 0.1.0
    │   │   ├── edgelet-http 0.1.0
    │   │   ├── edgelet-core 0.1.0
    │   │   │   └── edgelet-http 0.1.0
    │   │   └── edgehub-proxy 0.1.0
    │   ├── hyperlocal 0.6.0
    │   └── edgelet-http 0.1.0
    ├── tokio-udp 0.1.2
    │   └── tokio 0.1.11
    ├── tokio-tcp 0.1.2
    │   ├── tokio 0.1.11
    │   └── hyper 0.12.14
    ├── tokio-reactor 0.1.6
    │   ├── tokio-uds-windows 0.1.0
    │   ├── tokio-uds 0.2.3
    │   ├── tokio-udp 0.1.2
    │   ├── tokio-tcp 0.1.2
    │   ├── tokio 0.1.11
    │   └── hyper 0.12.14
    ├── tokio 0.1.11
    ├── mio-uds-windows 0.1.0
    ├── mio-uds 0.6.7
    │   └── tokio-uds 0.2.3
    └── mio-named-pipes 0.1.6
        └── tokio-named-pipe 0.1.0

Crate:         miow
Version:       0.3.3
Warning:       yanked
Dependency tree:
miow 0.3.3
└── mio-named-pipes 0.1.6
    └── tokio-named-pipe 0.1.0
        ├── hyper-named-pipe 0.1.0
        │   └── edgelet-http 0.1.0
        │       └── edgehub-proxy 0.1.0
        └── edgelet-http 0.1.0

Crate:         net2
Version:       0.2.33
Warning:       yanked

Crate:         smallvec
Version:       0.6.5
Warning:       yanked

Crate:         socket2
Version:       0.3.8
Warning:       yanked
Dependency tree:
socket2 0.3.8
└── miow 0.3.3
    └── mio-named-pipes 0.1.6
        └── tokio-named-pipe 0.1.0
            ├── hyper-named-pipe 0.1.0
            │   └── edgelet-http 0.1.0
            │       └── edgehub-proxy 0.1.0
            └── edgelet-http 0.1.0

error: 9 vulnerabilities found!
warning: 7 allowed warnings found
```
</details>
  • Loading branch information
@nyanzebra
nyanzebra authored May 20, 2021
1 parent d1206d9 commit e44dd81
Show file tree
Hide file tree
Showing 2 changed files with 770 additions and 767 deletions.
Loading

0 comments on commit e44dd81

Please sign in to comment.