新闻中心

npm 更新导致 Linux 系统崩溃,迫使用户重装系统

作者 / 无忧主机 时间 2018-02-25 10:59:09

最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出现了一个漏洞,会更改 Linux 系统中关键文件如 /etc, /usr, /boot 等的所有者权限,导致系统或多个本地应用崩溃,还可能导致系统无法重启。 npm的全名为Node Package Manager,它是JavaScript程序语言的包管理器,也是Node.js预设的包管理器。为Node.js,Ember,jQuery,Bootstrap,React,Angular和许多其他JavaScript框架提供库和插件。 根据GitHub上的npm臭虫报告,npm用户Crunkle指出,npm 5.7.0完全破坏了他的文档系统权限,使得他必须手动修补重大文档与文件夹的权限。另一名用户juggy则表示,单次的npm 5.7.0部署就摧毁了3台运作中的服务器。 AWS EC2的Linux AMI用户redboltz也说,他在部署npm 5.7.0之后便无法执行sudo指令,只好重建EC2实例。 安装了 nmp 新版本的用户必须重装系统才能解决上述问题。有一位受影响的用户称,配置 nmp 更新后,已经有三台生产服务器崩溃了,而其他用户也报告了类似问题。 事实上,这个漏洞在上周就已经有用户上报过了,但一直没有修复。这两天问题严重之后,nmp 团队终于有所反应,发布了移除漏洞代码的 5.7.1 修复版本。 修复版本地址:http://blog.npmjs.org/post/171169301000/v571

本文地址:https://www.51php.com/safety/26319.html

1
1
1
1
1
1
1