Un bug in npm (installer per pacchetti node.js) compromette tutti i permessi dei sistemi Linux

Lo scorso anno abbiamo parlato di NPM, il sistema di installazione pacchetti Node.js largamente (eufemismo) utilizzato nelle applicazioni web, e di come una patch sbagliata avesse praticamente “bloccato” internet, o quantomeno tutti i siti che facevano affidamento a questo sistema.

Bene, la notizia di oggi è che l’ultimo update distribuito per questa piattaforma cambia i permessi dei file presenti in alcune locazioni cruciali, quali /etc, /usr e /boot, costringendo quindi (a meno di non avere un backup recente ripristinabile unicamente per quanto riguarda i permessi) a reinstallare l’intero sistema.

Vien da se che il problema riguarda da vicino sviluppatori ed ingegneri software che hanno installato la recente pre-versione 5.7.0 in quanto al momento, per fare un esempio, in Fedora 27 la versione del software distribuita è la 5.6.0, ma in ogni caso il problema è rilevante e costringe a porsi diverse domande sulle modalità in cui certe componenti accedono al sistema.

Soluzioni a problemi simili non esistono: un pacchetto di installazione, sia esso rpm o deb, avrà sempre completo accesso al sistema e se all’interno delle proprie azioni di post installazione qualche burlone decidesse di aggiungere un comando come “rm -rf” ci sarebbe ben poco da fare. Ma stiamo estremizzando, sia chiaro. Una cosa del genere non è mai accaduta forse proprio perché aspetti così delicati come la creazione di pacchetti vengono testati in maniera approfondita prima di essere distribuiti.

Cosa è successo quindi questa volta? Tutto è descritto nel link riportato qui sopra, nel quale viene indicato come la release che risolve il problema, la 5.7.1 è già disponibile.

Una cosa è chiara comunque: mai usare versioni definite “pre-release” in produzione (anche se in questo caso nell’annuncio della versione questa non è stata indicata come pre release)! Se poi siete sviluppatori e non potete farne a meno beh… Succede!

Tags: , , , ,