Поиск
Показаны результаты для тегов 'npm'.
Найдено: 2 результата
-
Разработчикам менеджера пакетов Node Package Manager (npm) удалось избежать катастрофы, своевременно обнаружив и заблокировав распространение бэкдора, хитроумно спрятанного в популярном пакете (библиотеке) для JavaScript. Изначально бэкдор был обнаружен в «getcookies» - сравнительно новом пакете npm для работы с файлами cookie в браузере. Получив жалобы от сообщества npm, разработчики изучили пакет и обнаружили в нем сложный механизм получения команд от удаленного злоумышленника, способного атаковать любое приложение, где используется «getcookies». С помощью синтаксического анализа заголовков HTTP-запросов, отправляемых пользователем, бэкдор искал особым образом отформатированные данные с тремя разными командами. Как пояснили разработчики npm, бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его. Поскольку «getcookies» является сравнительно новой библиотекой, она используется лишь в небольшом количестве проектов. Однако разработчики npm обнаружили встроенную цепочку зависимостей, через которую пакет «getcookies» косвенно попал в структуру популярной библиотеки «Mailparser». «Mailparser» - пакет npm для синтаксического анализа данных электронных писем с использованием JavaScript. Библиотека является устаревшей и в настоящее время вместо нее предпочтение отдается более новой «Nodemailer». Тем не менее, «Mailparser» не была исключена из npm, так как ее до сих пор используют более старые приложения. В среднем «Mailparser» загружается порядка 66 тыс. раз в неделю.
-
Ошибка в популярном JavaScript-менеджере пакетов npm (Node Package Manager) приводит к изменению права владения важнейшими системными папками Linux, такими как /etc, /usr и /boot. В свою очередь это чревато либо аварийным завершением работы локальных приложений или всей системы, либо сбоем в загрузке системы. О проблеме сообщили пользователи (в большинстве своем инженеры и разработчики приложений), установившие обновление npm v5.7.0. После деинсталляции проблемного обновления им, скорее всего, придется устанавливать систему с нуля или восстанавливать из предыдущего образа. Об ошибке впервые стало известно более недели назад, однако разработчики npm поначалу никак не отреагировали на жалобы пользователей. После повторного сообщения о проблеме было выпущено исправляющее ее обновление 5.7.1. Проблема коснулась не всех пользователей Linux. В частности, с ней столкнулись те, кто работает с FreeBSD. Пользователи Mac и Windows не были затронуты ошибкой. Как сообщил разработчик ПО Джаред Тиала, при запуске sudo npm от имени пользователя без привилегий суперпользователя системные разрешения кардинально меняются. Если запускать команды обновления npm от имени суперпользователя, менеджер пакетов не будет пытаться переназначить право владения всем файлам. То есть, проблема возникает только в случае, если процедура обновления npm проводится с использованием префикса sudo.
-
- установка
- обновления
- (и ещё 6 )