Выпуск пакетного менеджера NPM 7.3
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Опубликован выпуск пакетного менеджера NPM 7.3, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.3, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7".
В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду "npm config". Например, теперь можно использовать команды подобные "npm config get foo bar baz" и "npm config set email=me@example.com _auth=xxxx".
Кроме того, в команде "npm rebuild" реализована поддержка указания файловых путей в качестве аргумента в командной строке (например, "npm rebuild ./node_modules/foo/").
Дополнительно можно отметить уязвимость (CVE-2020-26274) в npm-пакете systeminformation, насчитывающем почти 800 тысяч еженедельных загрузок. Проблема устранена в выпуске 4.31.1. Уязвимость была вызвана неполной проверкой строки в функции sanitizeShellString(), применяемой при запуске shell-команд. Проблема позволяла осуществить подстановку своих команд в командную строку при выполнении операции inetLatency через подстановку символов "``" в в имени хоста, который передавался без должного экранирования в качестве аргумента при запуске утилиты "ping".
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.npmjs.org/post/63...)
- OpenNews: Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM
- OpenNews: В репозитории NPM выявлен вредоносный пакет discord.dll
- OpenNews: В репозитории NPM выявлен вредоносный пакет twilio-npm
- OpenNews: Из репозитория NPM удалены четыре пакета с бэкдорами
- OpenNews: Доступен пакетный менеджер NPM 7.0
Похожие новости:
- Выпуск пакетного менеджера NPM 7.1. Очередные вредоносные пакеты в репозитории NPM
- В репозитории NPM выявлен вредоносный пакет discord.dll
- [JavaScript, Node.JS] Engine-version — npm пакет, который позволит задать корректное окружение разработки
- В репозитории NPM выявлен вредоносный пакет twilio-npm
- [JavaScript, Программирование] Из каталога NPM удалили четыре зловредных пакета
- Из репозитория NPM удалены четыре пакета с бэкдорами
- [JavaScript] Удобная платформа для подбора библиотек и фреймворков JavaScript — openbase (перевод)
- Доступен пакетный менеджер NPM 7.0
- В репозитории NPM выявлены четыре пакета, пересылающие данные о пользователе
- [JavaScript, Программирование, Разработка веб-сайтов] Основные команды bash, git, npm и yarn, а также немного о package.json и semver
Теги для поиска: #_npm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:16
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Опубликован выпуск пакетного менеджера NPM 7.3, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок. Для установки NPM 7.3, не дожидаясь новой версии Node.js, можно выполнить команду "npm i -g npm@7". В NPM 7.3 добавлена возможность установки или извлечения разом нескольких параметров конфигурации через команду "npm config". Например, теперь можно использовать команды подобные "npm config get foo bar baz" и "npm config set email=me@example.com _auth=xxxx". Кроме того, в команде "npm rebuild" реализована поддержка указания файловых путей в качестве аргумента в командной строке (например, "npm rebuild ./node_modules/foo/"). Дополнительно можно отметить уязвимость (CVE-2020-26274) в npm-пакете systeminformation, насчитывающем почти 800 тысяч еженедельных загрузок. Проблема устранена в выпуске 4.31.1. Уязвимость была вызвана неполной проверкой строки в функции sanitizeShellString(), применяемой при запуске shell-команд. Проблема позволяла осуществить подстановку своих команд в командную строку при выполнении операции inetLatency через подстановку символов "``" в в имени хоста, который передавался без должного экранирования в качестве аргумента при запуске утилиты "ping". =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 19:16
Часовой пояс: UTC + 5