Crash in HeaderParser in dicer #1

최근 프로젝트 진행을 위해 Nest.js로 프로젝트를 생성하면서 Github dependabot에 알림이 떴다.

해당 문제를 해결하기 위해 조금 찾아봤다.

yarn.lock

yarn.lock을 통해 의존성 버전을 확인했다.

dicer는 busboy의 하위 라이브러리이고, busboy는 multer의 하위 라이브러리로, Nest.js에서 multer의 의존성을 불러올 때, dicer 라이브러리의 취약점이 문제가 된 것으로 보인다.

Github 살펴보기

현재 dicer@0.2.5 버전을 호출하는데, 해당 버전의 문제인가 확인했더니 0.3.1 이하 버전에 해당 취약점이 발생하는데, 최근 버전이 0.3.1이었다.

관련 이슈로 열린 PR를 살펴보니 busboy에서 더 이상 사용하지 않는다고 한다.

busboy에는 다른 얘기는 없었고,
multer를 확인해보니 해당 문제로 PR이 열려있는 것을 확인할 수 있었다.
nestjs 레포에는 관련 내용이 있었지만, 자동으로 관리된다는 답변이 있었다.

결론

결국 multer에서 dicer를 사용하지 않는 busboy 라이브러리를 사용하도록 PR이 완료되기를 기다리기로 했다.