最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出現(xiàn)了一個漏洞，會更改 Linux 系統(tǒng)中關(guān)鍵文件如 /etc, /usr, /boot 等的所有者權(quán)限，導(dǎo)致系統(tǒng)或多個本地應(yīng)用崩潰，還可能導(dǎo)致系統(tǒng)無法重啟。 npm的全名為Node Package Manager，它是JavaScript程序語言的包管理器，也是Node.js預(yù)設(shè)的包管理器。為Node.js，Ember，jQuery，Bootstrap，React，Angular和許多其他JavaScript框架提供庫和插件。 根據(jù)GitHub上的npm臭蟲報(bào)告，npm用戶Crunkle指出，npm 5.7.0完全破壞了他的文檔系統(tǒng)權(quán)限，使得他必須手動修補(bǔ)重大文檔與文件夾的權(quán)限。另一名用戶juggy則表示，單次的npm 5.7.0部署就摧毀了3臺運(yùn)作中的服務(wù)器。 AWS EC2的Linux AMI用戶redboltz也說，他在部署npm 5.7.0之后便無法執(zhí)行sudo指令，只好重建EC2實(shí)例。 安裝了 nmp 新版本的用戶必須重裝系統(tǒng)才能解決上述問題。有一位受影響的用戶稱，配置 nmp 更新后，已經(jīng)有三臺生產(chǎn)服務(wù)器崩潰了，而其他用戶也報(bào)告了類似問題。 事實(shí)上，這個漏洞在上周就已經(jīng)有用戶上報(bào)過了，但一直沒有修復(fù)。這兩天問題嚴(yán)重之后，nmp 團(tuán)隊(duì)終于有所反應(yīng)，發(fā)布了移除漏洞代碼的 5.7.1 修復(fù)版本。 修復(fù)版本地址：http://blog.npmjs.org/post/171169301000/v571

本文地址：http://www.gle-technology.com/safety/26319.html