Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Node.js」のパッケージマネージャ「npm」、不正パッケージが拡散するおそれ

サーバーサイドで動作するJavaScriptプラットフォーム「Node.js」のパッケージマネージャ「npm」において、悪意あるパッケージが拡散するおそれがあることがわかった。セキュリティ機関が注意を呼びかけている。

20160329_np_001.jpg

「npm」では、悪意のある「npmパッケージ」の拡散を防げず、ワームとして拡大するおそれがあるという。今回の問題は、Sam Saccone氏が発見し、「npm hydraワーム」としてnpmプロジェクトへ報告した。

npmの開発チームでは、npmにおけるインストールスクリプトの利便性が、ワームの危険性を上回ると説明しており、緩和策のアナウンスにとどめ、具体的な修正などは実施しない方針。

レジストリより提供されるパッケージが安全であることを保証できないとし、悪性あるコードを見つけた場合は報告するよう呼びかけている。

利用者側における緩和策としては、npmサーバへのログインしたままにしないことや、「npm shrinkwrap」コマンドによりパッケージのバージョンを固定すること、インストール時に「ignore-scriptsオプション」を設定することなどを挙げている。

(Security NEXT - 2016/03/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

「BIND 9.14」にサービス拒否など複数脆弱性
「Adobe Acrobat/Reader」にアップデート - 脆弱性68件を修正
「Java SE」の最新版がリリース - 脆弱性20件に対処
Oracle、定例アップデートで219件の脆弱性を修正
「Cisco Aironet」シリーズに複数の脆弱性 - 設定変更やDoSのおそれ
VMwareの「Harbor Container Registry for PCF」に深刻な脆弱性
WP向けグラフ作成プラグインにSQLiなど複数脆弱性
「sudo」に権限設定バイパスのおそれ - rootでコマンド実行可能に
Adobe、「AEM」「Download Manager」に脆弱性 - 定例外パッチ公開
「Adobe Acrobat」「Adobe Reader」の定例外更新 - まもなく公開予定