Una bug en NPM están destruyendo las configuraciones del servidor

Share this…

La nueva versión de NPM hace que los permisos de los archivos se rompan bajo ciertas circunstancias, rompiendo otras aplicaciones en el proceso.

Un bug en la versión 5.7.0 está rompiendo permisos en archivos y carpetas raíz cuando NPM se ejecuta como administrador. De acuerdo a los profesionales en seguridad cibernética, NPM 5.7.0 es una versión preliminar, pero un bug por separado en el comando de actualización da como resultado que los sistemas se actualicen a esta versión.

npm bug

Las fallas de los desarrolladores de NPM han resultado en un problema para los administradores del sistema. En la versión 5.7.0, al ejecutar sudo npm, se restablecerán los permisos de archivo en el sistema, lo que interrumpirá la operación de NPM y prácticamente cualquier otra cosa que requiera el permiso de archivos para funcionar. Esto no ocurre cuando se ejecuta directamente como root.

Sin embargo, esta falla atraviesa y se ejecuta rápidamente en los archivos y carpetas incorrectas, a menudo críticas, del sistema de archivos. Este bug se introdujo en la versión 5.7.0, que según los expertos en seguridad cibernética parece ser una versión normal. Si ejecuta la actualización NPM, instalará 5.7.0. No hay ninguna indicación de que esta es una versión preliminar de NPM.

Al mismo tiempo, una falla por separado hace que las versiones preliminares sean instaladas cuando se ejecuta la actualización npm. Si bien el error de permisos se ha corregido en 5.7.1, que puede actualizar ejecutando la actualización de npm, esta versión también carece incorrectamente de etiquetas que indiquen que no está lista para producción. Para volver a una versión segura de npm, debe ejecutar npm install -g npm.

Sherov, colaborador activo de NPM en GitHub dijo que, no hay ninguna razón para que dos personas lleven la mayor parte del peso del desarrollo. La participación de la comunidad podría haber mitigado este problema.

En última instancia, la raíz del problema es por qué NPM requiere sudo para comenzar. Esto no es sustancialmente diferente de abrir permisos para que todo funcione, sin preocuparse por la seguridad de datos. Sin embargo, hay formas de evitar el uso de sudo.

Los especialistas en seguridad de datos dicen que, los usuarios que busquen un reemplazo para NPM pueden considerar Yarn.