Read the statement by Michael Teeuw here.
Can't get MM to start, says it can't find electron, then electron won't start
-
@jmartin1009 if your mirror is not accessible from the internet I would not worry about these vulnerabilities.
-
@sdetweil does that mean I can’t use any modules that use the internet? im using ssh to do these codes and I plan to use alexa and stuff with it so it will require internet use, so what did you mean by that?
-
@jmartin1009 good point. I would run npm audit to get a list of the issues. These generally end up being challenging to solve completely.
-
@sdetweil I ran the audit and then I ran the audit fix and I got this:
found 23 vulnerabilities (8 low, 14 moderate, 1 high) in 2433 scanned packages run `npm audit fix` to fix 13 of them. 8 vulnerabilities require semver-major dependency updates. 2 vulnerabilities require manual review. See the full report for details. pi@raspberrypi:~/MagicMirror $ npm audit fix -bash: pm: command not found pi@raspberrypi:~/MagicMirror $ npm audit fix npm WARN acorn-jsx@5.0.1 requires a peer of acorn@^6.0.0 but none is installed. You must install peer dependencies yourself. npm WARN grunt-stylelint@0.10.1 requires a peer of stylelint@^9.0.0 but none is installed. You must install peer dependencies yourself. + jshint@2.10.1 added 4 packages from 4 contributors, removed 7 packages and updated 13 packages in 39.446s fixed 13 of 23 vulnerabilities in 2433 scanned packages 2 vulnerabilities required manual review and could not be updated 1 package update for 8 vulns involved breaking changes (use `npm audit fix --force` to install breaking changes; or refer to `npm audit` for steps to fix these manually) ╭───────────────────────────────────────────────────────────────╮ │ │ │ New minor version of npm available! 6.4.1 → 6.8.0 │ │ Changelog: https://github.com/npm/cli/releases/tag/v6.8.0 │ │ Run npm install -g npm to update! │ │ │ ╰───────────────────────────────────────────────────────────────╯
what should I do now?
-
@jmartin1009 I would see what that 1 high priority issue is.
At the bottom it says some breaking changes required to fix one issue. Breaking changes mean other code needs to be changed. So I would stay away from that fix
-
@sdetweil I ran the audit again and I believe the fix I did fixed it, but it says I still have 11 vulnerabilities, which are:
pi@raspberrypi:~/MagicMirror $ npm audit === npm audit security report === # Run npm install --save-dev stylelint@9.10.1 to resolve 8 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ braces │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > micromatch > braces │ ├───────────────���──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/786 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > postcss-reporter > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > table > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > postcss-reporter > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > table > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Cryptographically Weak PRNG │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ randomatic │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ stylelint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ stylelint > micromatch > braces > expand-range > fill-range │ │ │ > randomatic │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/157 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update lodash --depth 5 to resolve 1 vulnerability ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ spectron [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ spectron > webdriverio > gaze > globule > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ express-ipfilter │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ express-ipfilter > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ express-ipfilter │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ express-ipfilter > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 11 vulnerabilities (6 low, 5 moderate) in 2427 scanned packages run `npm audit fix` to fix 1 of them. 8 vulnerabilities require semver-major dependency updates. 2 vulnerabilities require manual review. See the full report for details.
sorry for it being long, just easiest to copy and paste over from the ssh lol
-
As they are low or moderate risk, I would not worry about them.
-
@sdetweil okay, so now should I try to run MagicMirror or is there anything else I have to do yet?
-
@jmartin1009 correct, run MagicMirror
Copy the sample config to config.js and then fire it up! -
@sdetweil what is that about copying config? how do I do that? the newbie guide im using doesn’t explain how to do that or why lol i’ll take your word on it I just need to know how