Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定 5
ストーリー by hylom
ご注意を 部門より
ご注意を 部門より
Anonymous Coward曰く、
Node.jsのLTSを含む全バージョンに影響する脆弱性が発見された(Node.js公式サイトでの発表)。これを受けて、12月17日に現行でサポートされているバージョンすべてで修正版がリリースされるとのこと。
脆弱性の内容はパッケージマネージャのnpm v6.13.3でアクセスできないはずのディレクトリにアクセスできる、package.jsonのbinディレクトリに悪意のもとに改造されたcliがインストールされてしまうとかいうことらしい。総じて容易に悪用できるような仕様ではないと考えているそうだが、npm社で検証中とのこと。併せて npm社のアドバイザリに従ってnpmを6.13.4にアップデートしてくれということらしい。
サプライチェーン (スコア:1)
リモートからなんかされるとかいうわけじゃないのね。
https://forest.watch.impress.co.jp/docs/news/1224385.html [impress.co.jp]
パッケージにトラップ仕込まれたらそれだけで大事なんだが、
この脆弱性でもっと深刻な被害が出る可能性があるといったところか。
Re: (スコア:0)
npmでトラップ入りpackage.json処理するとトラップ発動、ではなぁ……
普通に任意のコード実行できる条件でしか発動しないのではほとんど意味が無さそう。
邪悪なM$製品は危険(笑) (スコア:0)
OSSなら安全(爆笑)
Re: (スコア:0)
一個パッケージインストールすると山ほど依存ライブラリが落ちてくるnpmが安全とは思わないが、
この脆弱性はなにかインストールする際にちょっぴり良からぬことができるって程度の話で、
悪意あるパッケージをインストールしなければ作動しないし、
悪意あるパッケージをインストールしちゃったら普通に良からぬ事されてしまうのであまり意味が無い。
Re: (スコア:0)
釣れましたか?