Выпуск пакетного менеджера NPM 7.3
Опубликован выпуск пакетного менеджера NPM 7.3, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.3, не дожидаясь новой версии Node.js, можно выполнить команду «npm i -g npm@7».
В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду «npm config». Например, теперь можно использовать команды подобные «npm config get foo bar baz» и «npm config set email=me@example.com _auth=xxxx». Кроме того, в команде «npm rebuild» реализована поддержка указания файловых путей в качестве аргумента в командной строке (например, «npm rebuild ./node_modules/foo/»).
Дополнительно можно отметить уязвимость (CVE-2020–26274) в npm-пакете systeminformation, насчитывающем почти 800 тысяч еженедельных загрузок. Проблема устранена в выпуске 4.31.1. Уязвимость была вызвана неполной проверкой строки в функции sanitizeShellString (), применяемой при запуске shell-команд. Проблема позволяла осуществить подстановку своих команд в командную строку при выполнении операции inetLatency через подстановку символов »``» в в имени хоста, который передавался без должного экранирования в качестве аргумента при запуске утилиты «ping».
Источник: http://www.opennet.ru/opennews/art.shtml? num=54293
© OpenNet
