パスワードを忘れた? アカウント作成
14070911 story
バグ

Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定 5

ストーリー by hylom
ご注意を 部門より

Anonymous Coward曰く、

Node.jsのLTSを含む全バージョンに影響する脆弱性が発見された(Node.js公式サイトでの発表)。これを受けて、12月17日に現行でサポートされているバージョンすべてで修正版がリリースされるとのこと。

脆弱性の内容はパッケージマネージャのnpm v6.13.3でアクセスできないはずのディレクトリにアクセスできる、package.jsonのbinディレクトリに悪意のもとに改造されたcliがインストールされてしまうとかいうことらしい。総じて容易に悪用できるような仕様ではないと考えているそうだが、npm社で検証中とのこと。併せて npm社のアドバイザリに従ってnpmを6.13.4にアップデートしてくれということらしい。

  • by Anonymous Coward on 2019年12月17日 14時24分 (#3732717)

    リモートからなんかされるとかいうわけじゃないのね。
    https://forest.watch.impress.co.jp/docs/news/1224385.html [impress.co.jp]

    パッケージにトラップ仕込まれたらそれだけで大事なんだが、
    この脆弱性でもっと深刻な被害が出る可能性があるといったところか。

    ここに返信
    • by Anonymous Coward

      npmでトラップ入りpackage.json処理するとトラップ発動、ではなぁ……
      普通に任意のコード実行できる条件でしか発動しないのではほとんど意味が無さそう。

  • by Anonymous Coward on 2019年12月17日 21時18分 (#3732922)

    OSSなら安全(爆笑)

    ここに返信
    • by Anonymous Coward

      一個パッケージインストールすると山ほど依存ライブラリが落ちてくるnpmが安全とは思わないが、
      この脆弱性はなにかインストールする際にちょっぴり良からぬことができるって程度の話で、
      悪意あるパッケージをインストールしなければ作動しないし、
      悪意あるパッケージをインストールしちゃったら普通に良からぬ事されてしまうのであまり意味が無い。

    • by Anonymous Coward

      釣れましたか?

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...