Purescript npm instalatzailean aurkitu den kode kaltegarria

npm eskuizkribua

Duela egun batzuk kode maltzurra npm paketearen mendekotasunetan detektatu da PureScript instalatzailearekin, purescript paketea instalatzen saiatzean agertzen dena.

Kode maltzurra kargatu-cwd-edo-npm mendekotasunen bidez txertatuta eta abiadura mapen mendekotasunak. Kontuan izan behar da npm paketearen jatorrizko egilea PureScript instalatzailearekin, duela gutxi arte npm pakete hau mantentzen arduratzen zena, baina paketea beste mantentzaile batzuei bidali zaiela, mendekotasun horiek dituzten paketeekin batera arduratzen dela.

Arazoari buruz

Paketearen analista berrietako batek aurkitu zuen arazoa, nori npm purescript paketearen jatorrizko egilearekin desadostasun ugari eta eztabaida itsusien ondoren transferitu zitzaizkion mantentze eskubideak.

Mantentzaile berriak PureScript konpilatzailearen arduradunak dira NPM paketea bere instalatzailearekin mantentzaileek beraiek konpondu behar dutela azpimarratu dute, ez proiektuaren kanpoko garatzaile batek.

PureScript instalatzailearekin npm paketearen egilea ez zegoen ados denbora luzez, baina gero amore eman eta biltegirako sarbidea eman zuen. Hala ere, mendekotasun batzuk bere menpe utzi zituzten.

Joan den astean PureScript 0.13.2 konpiladorearen kaleratzea iragarri zen eta mantentzaile berriek npm paketearen dagokion eguneratzea prestatu zuten instalatzailearekin, horretarako kode maltzurra antzeman da.

Kode gaiztoa "load-from-cwd-or-npm" npm paketean sartu zen lehenik eta behin. 3.0.2 bertsioan eta ondoren 1.0.3 bertsioko tasa-mapen paketean. Azken egunetan bi paketeen hainbat bertsio argitaratu ziren.

Npm paketearen egilea PureScript instalatzailearekin batera bidalitako mezutik aldatuta, bere kontua erasotzaile ezezagunek arriskuan jarri zutela esan zuen.

Hala eta guztiz ere, uneko inprimakian, kode maltzurreko ekintzak paketearen instalazioa saboteatuz soilik mugatu ziren, mantentzaile berrien lehen bertsioa izan zena. Ekintza kaltegarriak begiztatu ziren "npm i -g purescript" agindua duen pakete bat instalatzen saiatzean jarduera kaltegarri espliziturik egin gabe.

Bi eraso identifikatu ziren

Azken batean, kodea purescript npm instalatzailea saboteatzen du deskargatzea osatzea ekiditeko, eta horrek instalatzailea zintzilikatzea eragiten du "Egiaztatu zure plataformarako aurrez konpilatutako bitar bat eskaintzen den" urratsean.

Lehenengo ustiaketak karga-cwd-edo-npm paketea hautsiz egin zuen beraz, loadFromCwdOrNpm () edozein deik espero zen paketearen ordez pasabideen sekuentzia itzuliko luke (kasu honetan, konpilagailuaren binarioak deskargatzeko erabiltzen ari ginen eskaera paketea). Ustiapenaren bigarren errepikapenak iturburu fitxategi bat aldatuta egin du deskargako deiak itzultzea saihesteko.

4 egun geroago garatzaileek akatsen jatorria ulertu zuten eta eguneratze bat argitaratzeko prestatzen ari ziren karga-cwd-o-npm mendekotasunetatik kanpo uzteko., erasotzaileek beste eguneratze bat kaleratu zuten load-from-cwd-or-npm 3.0.4, non kode kaltegarria kendu den.

Hala eta guztiz ere, ia berehala kaleratu zen Rate-Map 1.0.3 mendekotasunaren beste eguneratze bat, eta bertan deskargatzeko deia itzultzeko deia blokeatzen duen konponketa gehitu zen.

Hau da, bi kasuetan, load-from-cwd-or-npm bertsio berrien aldaketek eta mapen tasak itxurazko desbideratze izaera izan zuten.

Halaber, kode maltzurrean egiaztapen bat egon zen huts egindako ekintzak mantentzaile berrien bertsioa instalatzerakoan soilik eragin zituena eta aurreko bertsioak instalatzean ez zen batere agertu.

Garatzaileek arazoa konpondu zuten menpekotasun problematikoak kendu ziren eguneraketa bat kaleratuz.

Erabiltzaileen sistemetan kode arriskutsua instalatu ez dadin, PureScript bertsio arazotsua instalatzen saiatu ondoren.

Bukatzeko garatzaileak gomendatzen du paketearen bertsioak beren sisteman dituen guztiei kendu node_modules direktorioen eta package-lock.json fitxategien edukia eta, ondoren, ezarri 0.13.2 purescript bertsioa.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko.

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.