知名JavaScript套件管理工具npm公司於本周四(2/22)釋出npm 5.7.0,然而,該版本含有重大臭蟲,將變更系統檔案的所有權,使得npm今天(2/23)緊急釋出npm 5.7.1進行修補

npm的全名為Node Package Manager,它是JavaScript程式語言的封包管理員,也是Node.js預設的封包管理員。

根據GitHub上的npm臭蟲報告,npm用戶Crunkle指出,npm 5.7.0完全破壞了他的檔案系統權限,使得他必須手動修補重大檔案與文件夾的權限。另一名用戶juggy則表示,單次的npm 5.7.0部署就摧毀了3台運作中的伺服器。AWS EC2的Linux AMI用戶redboltz也說,他在部署npm 5.7.0之後便無法執行sudo指令,只好重建EC2實例。

變更檔案權限可能造成程式或系統當掉,甚至無法開機。

npm,Inc.隔天就釋出了npm 5.7.1進行修補。由於該公司採用npm@nextnpm@latest的兩階段更新,npm 5.7.0率先發布至npm@next,當未波及npm@ latest,因此,採用npm@ latest更新管道的用戶尚未受到影響。

熱門新聞

Advertisement