Установка обновления npm может закончиться вынужденной переустановкой системы

image

Теги: ошибка, Linux, FreeBSD, npm

Ошибка в npm v5.7.0 вызывает переназначения права владения системными папками

Ошибка в популярном JavaScript-менеджере пакетов npm (Node Package Manager) приводит к изменению права владения важнейшими системными папками Linux, такими как /etc, /usr и /boot. В свою очередь это чревато либо аварийным завершением работы локальных приложений или всей системы, либо сбоем в загрузке системы.

О проблеме сообщили пользователи (в большинстве своем инженеры и разработчики приложений), установившие обновление npm v5.7.0. После деинсталляции проблемного обновления им, скорее всего, придется устанавливать систему с нуля или восстанавливать из предыдущего образа.

Об ошибке впервые стало известно более недели назад, однако разработчики npm поначалу никак не отреагировали на жалобы пользователей. После повторного сообщения о проблеме было выпущено исправляющее ее обновление 5.7.1. Проблема коснулась не всех пользователей Linux. В частности, с ней столкнулись те, кто работает с FreeBSD. Пользователи Mac и Windows не были затронуты ошибкой.

Как сообщил разработчик ПО Джаред Тиала (Jared Tiala), при запуске sudo npm от имени пользователя без привилегий суперпользователя системные разрешения кардинально меняются. Если запускать команды обновления npm от имени суперпользователя, менеджер пакетов не будет пытаться переназначить право владения всем файлам. То есть, проблема возникает только в случае, если процедура обновления npm проводится с использованием префикса sudo.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.