Un bug in npm (installer per pacchetti node.js) compromette tutti i permessi dei sistemi Linux

Lo scorso anno abbiamo parlato di NPM, il sistema di installazione pacchetti Node.js largamente (eufemismo) utilizzato nelle applicazioni web, e di come una patch sbagliata avesse praticamente “bloccato” internet, o quantomeno tutti i siti che facevano affidamento a questo sistema.

Bene, la notizia di oggi è che l’ultimo update distribuito per questa piattaforma cambia i permessi dei file presenti in alcune locazioni cruciali, quali /etc, /usr e /boot, costringendo quindi (a meno di non avere un backup recente ripristinabile unicamente per quanto riguarda i permessi) a reinstallare l’intero sistema.

Vien da se che il problema riguarda da vicino sviluppatori ed ingegneri software che hanno installato la recente pre-versione 5.7.0 in quanto al momento, per fare un esempio, in Fedora 27 la versione del software distribuita è la 5.6.0, ma in ogni caso il problema è rilevante e costringe a porsi diverse domande sulle modalità in cui certe componenti accedono al sistema.

Soluzioni a problemi simili non esistono: un pacchetto di installazione, sia esso rpm o deb, avrà sempre completo accesso al sistema e se all’interno delle proprie azioni di post installazione qualche burlone decidesse di aggiungere un comando come “rm -rf” ci sarebbe ben poco da fare. Ma stiamo estremizzando, sia chiaro. Una cosa del genere non è mai accaduta forse proprio perché aspetti così delicati come la creazione di pacchetti vengono testati in maniera approfondita prima di essere distribuiti.

Cosa è successo quindi questa volta? Tutto è descritto nel link riportato qui sopra, nel quale viene indicato come la release che risolve il problema, la 5.7.1 è già disponibile.

Una cosa è chiara comunque: mai usare versioni definite “pre-release” in produzione (anche se in questo caso nell’annuncio della versione questa non è stata indicata come pre release)! Se poi siete sviluppatori e non potete farne a meno beh… Succede!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: , , , ,