手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

最近Npm的意外事件暴露了安全漏洞

[日期:2018-01-24] 来源:infoq.com  作者:Sergio De Simone ,译者 [字体: ]

最近,npm注册库经历了一次运维的意外事件,导致一些被高度依赖的包变得不可用,比如require-from-string。尽管这个意外事件非常易于修复,但是它暴露了一个较为严重的安全漏洞,借助该漏洞能够尝试将恶意代码注入到使用npm的项目中。

按照官方报告的说法,这次意外事件的根本原因在于错误地将名为“floatdrop”的用户移除,并使他们的包无法查找和下载。之所以做出这样的决策是因为发布了一个包含垃圾软件的包,该包中还包含了floatdrop的合法包timed-out的README。因为匹配了README,所以npm的反垃圾系统将floatdrop标记为垃圾包,随后导致了移除用户及其所有的包的操作。

npm快速发现floatdrop确实是一个合法的用户,并且他们的有些包被高度使用,所以他们立即采取行动恢复所有的包。但就在这个过程所需的短短时间内,有一些与删除包名称相同的新包发布了,并且安装数目不详。

尽管npm的员工确认所有这些上传的替代包并非恶意的,但是这种事件有可能会给npm用户的项目注入恶意代码。需要注意的是,npm确实有一个策略,用来防止发布时间超过24小时的包被删除掉,其目的在于让其他人无法重用这些包的名字,但是这项策略之前并没有应用到垃圾软件包的删除上。这样做的理由是不想让垃圾软件妨碍合法名称的使用。

作为对这起事件的回应,npm的员工采取了几项措施,其中最重要的就是对所有删除的包名有一个24小时的冷却(cooldown)时间,这项策略也包括含有垃圾内容的包。这样的话,通过替换已删除的包来注入恶意代码会变得更困难,但是如果有人试图重用合法的包名的话,这需要npm的员工在24小时的时间窗口内恢复该包名。

另外,npm的员工将会建立一系列的指导文档,让合法包名的误删更加难以出现。读者可以在原始博客文章中了解更多信息。

查看英文原文Last Npm Incident Uncovers Security Vulnerability

本文永久更新链接地址http://www.linuxidc.com/Linux/2018-01/150530.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款