エントリ中でも解説あるけど、 `install` script で任意のコードを実行できるので、攻撃者からみると今回の脆弱性を利用する必要はなさそうなんだよなあ。

gfx のブックマーク 2019/12/23 11:03

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4679036947043366178/comment/gfx" data-user-id="gfx" data-entry-url="https://b.hatena.ne.jp/entry/s/blog.cybozu.io/entry/npm-vulnerabilities-and-postinstall" data-original-href="https://blog.cybozu.io/entry/npm-vulnerabilities-and-postinstall" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fblog.cybozu.io%2Fentry%2Fnpm-vulnerabilities-and-postinstall" data-user-icon="/users/gfx/profile.png">npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ</a><br><p style="clear: left">エントリ中でも解説あるけど、 `install` script で任意のコードを実行できるので、攻撃者からみると今回の脆弱性を利用する必要はなさそうなんだよなあ。</p><a class="datetime" href="https://b.hatena.ne.jp/gfx/20191223#bookmark-4679036947043366178"><span class="datetime-body">2019/12/23 11:03</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ

blog.cybozu.io2019/12/23

フロントエンドエキスパートチームの小林(@koba04)です。先日、npmから脆弱性についての発表がありました。調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog...

119 人がブックマーク・8 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ

はてなブックマーク

公式Twitter

はてなのサービス