npm 重大漏洞使得 Linux 系统崩溃,强制用户重新安装。npm用户Crunkle指出,npm 5.7.0完全破坏了他的文档系统权限,使得他必须手动修复重大文档与文件夹的权限。

npm的全名为Node Package Manager,它是JavaScript程序语言的包管理器,也是Node.js预设的包管理器。为Node.js,Ember,jQuery,Bootstrap,React,Angular和许多其他JavaScript框架提供库和插件。

根据GitHub上的npm臭虫报告,npm用户Crunkle指出,npm 5.7.0完全破坏了他的文档系统权限,使得他必须手动修补重大文档与文件夹的权限。另一名用户juggy则表示,单次的npm 5.7.0部署就摧毁了3台运作中的服务器。AWS EC2的Linux AMI用户redboltz也说,他在部署npm 5.7.0之后便无法执行sudo指令,只好重建EC2实例。变更文档权限可能造成程序或系统崩溃,甚至无法开机。

npm,Inc.隔天就释出了npm 5.7.1进行修补。由于该公司采用npm@next与npm@latest的两阶段更新,npm 5.7.0率先发布至npm@next,当未波及npm@ latest,因此,采用npm@ latest更新渠道的用户尚未受到影响。

原文来自:

本文地址://lrxjmw.cn/npm-burst-hole.html编辑:冯振华,审核员:逄增宝

本文原创地址://lrxjmw.cn/npm-burst-hole.html编辑:public,审核员:暂无