04.08.2021

Выпуск пакетного менеджера NPM 7.3


Опубликован выпуск пакетного менеджера NPM 7.3, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.3, не дожидаясь новой версии Node.js, можно выполнить команду «npm i -g npm@7».

В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду «npm config». Например, теперь можно использовать команды подобные «npm config get foo bar baz» и «npm config set email=me@example.com _auth=xxxx». Кроме того, в команде «npm rebuild» реализована поддержка указания файловых путей в качестве аргумента в командной строке (например, «npm rebuild ./node_modules/foo/»).

Дополнительно можно отметить уязвимость (CVE-2020-26274) в npm-пакете systeminformation, насчитывающем почти 800 тысяч еженедельных загрузок. Проблема устранена в выпуске 4.31.1. Уязвимость была вызвана неполной проверкой строки в функции sanitizeShellString(), применяемой при запуске shell-команд. Проблема позволяла осуществить подстановку своих команд в командную строку при выполнении операции inetLatency через подстановку символов ««» в в имени хоста, который передавался без должного экранирования в качестве аргумента при запуске утилиты «ping».

Источник: https://www.opennet.ru/opennews/art.shtml?num=54293

Добавить комментарий