最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出现了一个漏洞,会更改 Linux 系统中关键文件如 /etc, /usr, /boot 等的所有者权限,导致系统或多个本地应用崩溃,还可能导致系统无法重启。
npm的全名为Node Package Manager,它是JavaScript程序语言的包管理器,也是Node.js预设的包管理器。为Node.js,Ember,jQuery,Bootstrap,React,Angular和许多其他JavaScript框架提供库和插件。
根据GitHub上的npm臭虫报告,npm用户Crunkle指出,npm 5.7.0完全破坏了他的文档系统权限,使得他必须手动修补重大文档与文件夹的权限。另一名用户juggy则表示,单次的npm 5.7.0部署就摧毁了3台运作中的服务器。

AWS EC2的Linux AMI用户redboltz也说,他在部署npm 5.7.0之后便无法执行sudo指令,只好重建EC2实例。
安装了 nmp 新版本的用户必须重装系统才能解决上述问题。有一位受影响的用户称,配置 nmp 更新后,已经有三台生产服务器崩溃了,而其他用户也报告了类似问题。

事实上,这个漏洞在上周就已经有用户上报过了,但一直没有修复。这两天问题严重之后,nmp 团队终于有所反应,发布了移除漏洞代码的 5.7.1 修复版本。
修复版本地址:http://blog.npmjs.org/post/171169301000/v571

本文地址:http://www.51php.com/safety/26319.html

喜欢本文或觉得本文对您有帮助,请分享给您的朋友 ^_^

阅读本文的人还阅读: