npm 更新导致 Linux 系统崩溃，迫使用户重装系统

最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出现了一个漏洞，会更改 Linux 系统中关键文件如 /etc, /usr, /boot 等的所有者权限，导致系统或多个本地应用崩溃，还可能导致系统无法重启。 npm的全名为Node Package Manager，它是JavaScript程序语言的包管理器，也是Node.js预设的包管理器。为Node.js，Ember，jQuery，Bootstrap，React，Angular和许多其他JavaScript框架提供库和插件。 根据GitHub上的npm臭虫报告，npm用户Crunkle指出，npm 5.7.0完全破坏了他的文档系统权限，使得他必须手动修补重大文档与文件夹的权限。另一名用户juggy则表示，单次的npm 5.7.0部署就摧毁了3台运作中的服务器。 AWS EC2的Linux AMI用户redboltz也说，他在部署npm 5.7.0之后便无法执行sudo指令，只好重建EC2实例。 安装了 nmp 新版本的用户必须重装系统才能解决上述问题。有一位受影响的用户称，配置 nmp 更新后，已经有三台生产服务器崩溃了，而其他用户也报告了类似问题。 事实上，这个漏洞在上周就已经有用户上报过了，但一直没有修复。这两天问题严重之后，nmp 团队终于有所反应，发布了移除漏洞代码的 5.7.1 修复版本。 修复版本地址：http://blog.npmjs.org/post/171169301000/v571

本文地址：https://www.51php.com/safety/26319.html