node.js の全バージョンに脆弱性 12/17に対策済みバージョンを配信
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
node.js の LTS 含む全バージョンに影響する脆弱性が見つかったので 12/17 に対策版を出すそうだ。 脆弱性の内容はどうやら npm v6.13.3 でアクセスできないはずのディレクトリにアクセスできる、package.json の bin ディレクトリに悪意のもとに改造された cli がインストールされてしまうとかいうことらしい。総じて容易に悪用できるような仕様ではないと考えているそうだが、npm 社でコンセプトを検証中とのこと。 併せて npm 社のアドバイザリに従って 6.13.4 にアップデートしてくれということらしい。
情報元へのリンク
node.js の全バージョンに脆弱性 12/17に対策済みバージョンを配信 More ログイン